Le règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018. Depuis son adoption, le 14 avril 2016 suite à quatre années de travail et de négociations, le règlement européen fait beaucoup parler de lui. Perçu comme un « chamboulement » ou un « tournant majeur » dans la régulation des données personnelles, à la lecture de ces 99 articles, le RGPD nous apparait plus comme une évolution que comme une révolution.
Une consolidation des règles existantes
Le Règlement vient rappeler des principes et obligations qui sont déjà présents dans la loi Informatique et Liberté de 1978 ou dans la directive 95/46.
A titre d’exemple, l’article 5 du Règlement prévoit un principe de minimisation des données : « Les données à caractère personnel doivent être: c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».
L’article 6 de la loi Informatique et Liberté prévoit quant à lui que : « Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. »
L’esprit et la lettre sont sensiblement les mêmes entre ces articles. Les exemples en ce sens sont nombreux.
Vers une harmonisation à l’échelle européenne
Gardons à l’esprit qu’il s’agit d’un texte européen qui permet une véritable harmonisation entre les pays. En effet, ce qui peut paraitre, peut être logique en droit français ne l’est peut-être pas forcément pour ses voisins européens, rappelle Claire, juriste en NTIC. Il est donc tout à fait satisfaisant d’avoir un texte unique, applicable directement afin de réduire les disparités juridiques générées par l’application de différentes législations nationales.
Le RGPD présente parfois un côté « marketing », avec des titres accrocheurs tels que « privacy by design » « privacy by default ». Le principe de data protection by design oblige le responsable du traitement à prendre des mesures et procédures techniques et organisationnelles appropriées – tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même- afin de le rendre conforme au Règlement. En d’autres termes, le responsable du traitement doit s’assurer de respecter le Règlement. A priori, cette démarche nous semble toute somme logique.
Un texte clair et lisible
Le Règlement, et c’est là son mérite, pose noir sur blanc des principes qui peuvent sembler évidents pour les professionnels avertis, note Sambuc Claire. Les articles semblent ainsi rédigés afin que tout le monde puisse les comprendre, ce qui n’est pas le cas de tous les textes de loi.
Un des points positifs de ce texte est notamment sa lisibilité : contrairement à la loi informatique et libertés qui renvoie d’un article à l’autre et rend compliqué sa lecture, le Règlement est lisible et compréhensible, y compris pour un non-juriste.
Des droits innovants
D’autre part, certains points sont réellement innovants et pertinents et permettent aux internautes de bénéficier de davantage de droits. C’est le cas de l’article 18 du Règlement qui prévoit un droit à la limitation du traitement. Ce droit permet notamment à La personne concernée d’obtenir du responsable du traitement la limitation du traitement lorsque par exemple :
a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel.
Ce droit vient compléter l’article 40 de la loi informatique et liberté qui prévoit que « Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ».
Quels changements pour les entreprises ?
S’agissant des entreprises, oui, celles-ci devront se conformer aux textes, comme elles devaient déjà le faire pour la loi Informatique et Liberté ou pour la directive européenne.
Les entreprises déjà sensibilisées et alertées sur le sujet n’auront pas de mal à se mettre en conformité avec les exigences du Règlement. Le Règlement vise à « responsabiliser » les entreprises qui doivent se montrer actives dans la protection des données et mettre en œuvre des actions.
Celles-ci ne devront plus se contenter de « déclaration » comme c’était le cas mais tenir un « registre des activités de traitement », effectuer des « analyses d’impact relative à la protection des données » lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ou encore faire appel à un « délégué à la protection des données » qui vient remplacer le CIL.
Le DPO aura un rôle de conseil, d’information, de contrôle relative aux traitements de données personnels effectués par le responsable du traitement.
Et la CNIL ?
Les pouvoirs de sanctions de la CNIL ont été considérablement augmentés, les montants des amendes pouvant monter très haut. Ces mesures seront-elles suffisantes pour décourager les entreprises de détourner le règlement ?
En définitive ce Règlement permet de sensibiliser d’avantage les entreprises peu soucieuses ou ignorantes des droits déjà applicables et d’harmoniser les règles entres les pays européens, analyse C.Sambuc.
Comme tout nouveau texte, il faudra aussi attendre son application dans la pratique, voir quels sujets seront soumis à interprétation et attendre les éclaircissements de la Cour de Justice de l’Union qui interviendront.
Claire SAMBUC 