European Union digitalization and use of digital technologies concept with the EU flag on a computer key.

Nouveau Règlement sur les données personnelles : décryptage

Le nouveau règlement européen sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai 2018.

Les organismes devront  être capables de démontrer, à compter de cette date, leur conformité à ces dispositions.

Alors que les obligations des organismes au regard de la loi informatique et libertés reposent en grande partie sur les formalités préalables (déclaration, autorisation), le règlement européen sur la protection des données repose sur une logique de responsabilisation et de transparence.

Cette notion de responsabilité (accountability) se traduit notamment par :

  • la prise en compte par défaut de la protection des données dès la conception d’un service ou d’un produit et par défaut (privacy by design) ;
  • la mise en place d’une organisation, de mesures et d’outils internes garantissant la conformité des traitements de données personnelles à la réglementation ;
  • une protection accrue des personnes dont les données sont traitées ;
  • ces mesures doivent être documentées.

Ces obligations de mise en conformité sont dynamiques, en ce sens que les procédures mises en place doivent être contrôlées et actualisées chaque fois que nécessaire. Le règlement appelle donc à la mise en place d’une véritable gouvernance des données personnelles, et à intégrer l’enjeu « protection des données personnelles » dans la stratégie des entreprises.

La règlementation, particulièrement complexe, s’appuie sur un règlement de 99 articles et 173 « considérants » (motivation des articles), sans compter les textes d’application nationaux (encore à venir en France, dans le contexte d’un agenda parlementaire surchargé…), et les règlementations sectorielles (données de santé, données bancaires). Il faut donc aborder ce sujet à la fois avec pragmatisme et un regard d’expert.

Parallèlement, les risques en cas de non-conformité sont sensiblement accrus par rapport à la réglementation actuelle : aux sanctions pénales (rarement mises en œuvre en pratique), et au risque d’atteinte à l’image, s’ajoute le fait que les autorités de contrôle (CNIL en France) pourront prononcer des sanctions pécuniaires  largement dissuasives : elles peuvent s’élever jusqu’à 20 millions d’euros d’amende ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires mondial.

Le sujet est donc devenu très sensible, et le compte à rebours a commencé.

Nous vous proposons d’examiner la mise en œuvre des exigences de la nouvelle règlementation dans une série d’articles thématiques.

Nous commencerons par la question clé de la sécurité des traitements de données personnelles.

Prochain article : le rappel des principes en matière de sécurité du traitement des données personnelles.

 Valérie Sédallian, avocat au Barreau de Paris. N’hésitez pas à nous contacter.