L’adaptation du droit à l’ère du numérique, l’enjeu est de taille ! L’adoption du Règlement Général sur la protection des données à caractère personnel[1] vient consolider le « marché intérieur du numérique » et abroge la directive 95/46 CE[2]. La finalité est de parvenir à un droit européen unique de la protection des données qui concilie d’une part, la libre circulation des données et d’autre part, le renforcement des droits des citoyens européens concernés par le traitement de données.

A compter du 25 mai 2018, les règles du jeu changeront et s’appliqueront directement aux entreprises, que ces dernières soient établies sur le territoire de l’Union Européenne ou dans des pays tiers. Ainsi, conformément à ce critère d’extra-territorialité, dès lors que le responsable du traitement propose des biens et services sur le marché européen, il sera tenu de respecter les dispositions du Règlement.

D’un point de vue pratique, les entreprises devront se conformer à trois nouveaux changements.

En premier lieu, l’apport majeur du Règlement est la place d’un régime de responsabilisation [« Accountability »] des acteurs qui traitent les données personnelles. Ainsi, ce nouveau texte signe la disparition du régime de la déclaration préalable aux autorités de contrôle. Désormais, tant le responsable du traitement que le sous-traitant devront être à même de prouver à ces autorités qu’ils respectent les obligations consacrées par le Règlement. En effet, suivant cette logique de responsabilisation des acteurs, le sous-traitant verra sa responsabilité engagée au même titre que le responsable du traitement en cas de manquement aux dispositions du Règlement. Les entreprises devront donc être particulièrement vigilantes lors de la rédaction des contrats de sous-traitance. Par ailleurs, les entreprises de plus de 250 salariés auront l’obligation de tenir un registre des activités de traitement et de le mettre à tout moment à disposition des autorités de contrôle. Ce registre sera sans doute le plus efficace dont disposeront les entreprises afin de démontrer leur conformité au nouveau texte.

En deuxième lieu, le second changement particulièrement significatif est le renforcement des droits individuels des personnes concernées par le traitement de données personnelles. De nouveaux droits sont consacrés par le Règlement, tel que le droit à la portabilité de données. Au total, onze droits sont consacrés afin de permettre aux personnes de disposer d’un droit étendu et de faciliter l’accès aux données personnelles les concernant. Autre apport majeur : l’exigence d’un consentement clair et explicite des personnes concernées quant à l’utilisation de leurs données personnelles. A compter du 25 mai prochain, le consentement devra être recueilli moyennant un acte positif clair, le silence ne vaudra plus acceptation. Le Règlement précise qu’il s’agit d’une condition de licéité du traitement. Le renforcement des droits se caractérise également par l’obligation de notification en cas de violation des données personnelles : le responsable de traitement et/ou le sous-traitant devra signaler l’atteinte à l’autorité de contrôle et à la personne concernée dans un délai de 72 heures après en avoir pris connaissance.

En troisième lieu, le Règlement renforce les systèmes de contrôles internes et externes et alourdit considérablement les sanctions. Le délégué à la protection des données, dont la désignation n’est obligatoire que dans trois hypothèses, jouera le rôle d’intermédiaire entre l’entreprise et l’autorité de contrôle et accompagnera le responsable du traitement afin de garantir la conformité aux obligations du Règlement.

Enfin, dans le but de décourager la violation des règles, les entreprises qui ne respectant pas les dispositions du Règlement encourront des amendes allant jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial.

Ce nouveau Règlement long de 173 considérants et 99 articles soulèvera nécessairement des difficultés d’ordre pratique. Ainsi plusieurs interrogations restent à ce jour en suspens :

  • De quelle façon les entreprises vont-elles recueillir le consentement de leurs clients et de leurs salariés concernés par le traitement de données personnelles ?
  • La désignation du délégué à la protection des données, seulement requise dans trois hypothèses, est-elle tout de même fortement recommandée ?
  • Sachant que le régime de la déclaration préalable disparaîtra, quels moyens seront utilisés par les autorités de contrôles afin de s’assurer que les entreprises respectent ces nouvelles règles ?

Autant de réponses que devront trouver les entreprises dans les semaines à venir.

M&B Avocats

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE[2] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]