Après plus de quatre ans de négociation, le nouveau règlement sur les données personnelles (le « Règlement ») a enfin été adopté le 24 mai 2016[1]. Toutefois, il ne sera applicable qu’à compter du 24 mai 2018. Les entreprises responsables de traitements de données personnelles et leurs sous-traitants auront jusqu’à cette date pour se mettre en conformité avec le Règlement y compris pour les traitements déjà mis en œuvre à cette date.

Le Règlement a pour objectif d’adapter les règles sur les données personnelles au monde du numérique et de les harmoniser au sein des pays de l’Union Européenne (UE). Ce texte remplacera donc la règlementation existante jusqu’à aujourd’hui.

Son champ d’application est large puisqu’il s’appliquera dès lors que (i) les données personnelles collectées concernent un citoyen résidant dans l’UE, que le responsable de traitement se trouve ou non sur ce territoire; (ii) le responsable du traitement ou son sous-traitant réside dans l’UE, c’est-à-dire que le Règlement s’appliquerait à un citoyen non-européen dont les données seraient collectées ou traitées par une société de l’UE. Le critère du lieu d’établissement du responsable de traitement, jusqu’alors retenu pour définir la loi applicable au traitement de données, est donc largement dépassé. Le but est notamment de permettre d’encadrer les traitements effectués sur Internet lorsque l’une des personnes impliquées dans le traitement (le responsable de traitement ou la personne dont les données sont traitées) est située en dehors de l’Espace Economique Européen.

Les points essentiels à retenir de ce Règlement sont les suivants:

• Etablissement d’un niveau élevé de protection et de contrôle des citoyens sur leurs données personnelles, notamment par la création d’un droit à la portabilité des données personnelles et la consécration du droit à l’oubli;

• Modifications profondes du régime de la responsabilité. A titre d’exemple, les responsables de traitement ne sont plus soumis à l’obligation de déclaration (le régime d’autorisation est quant à lui maintenu dans certains cas) et devront prouver qu’ils ont respecté les dispositions du Règlement; les sous-traitants se voient désormais appliquer directement une série d’obligations légales;

• Les sanctions administratives sont renforcées en cas de non respect de ces règles puisqu’elles pourront s’élever jusqu’à 4% du chiffres d’affaire annuel mondial de l’entreprise et à 10 ou 20 millions d’euros dans les autres cas.

 Plus particulièrement, parmi les obligations mises à la charge des sociétés effectuant des traitements de données personnelles, il convient de relever que celles-ci devront désormais:

• Mettre en œuvre des mesures techniques et organisationnelles appropriées et être capable de démontrer cette conformité au Règlement à tout moment (principe « d’accountability»). A ce titre, les responsables de traitement de données devront par exemple garantir la confidentialité du traitement ou veiller à ce que, par défaut, seules les données strictement nécessaires au regard de chaque finalité soient traitées (principe dit de « minimisation »);

• Si la société comporte plus de 250 salariés (sauf exception), tenir un registre des activités de traitements comparable à un inventaire des traitements;

• Désigner un délégué aux données personnelles si la société appartient au secteur public, si son activité principale l’amène à réaliser un traitement systématique de données personnelles à grande échelle ou enfin si son activité principale l’amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations;

• Notifier aux autorités (et aux personnes concernées si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne) les failles de sécurité 
dans un délai de 72 heures après en avoir pris connaissance.

Dans la mesure où le Règlement s’appliquera pour les traitements déjà mis en œuvre en mai 2018, les entreprises ont tout intérêt à se préparer dès maintenant à ces nouvelles règles qui impliquent une nouvelle organisation, en particulier pour les sous-traitants soumis pour la première fois à des obligations légales.

 

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE