Le nouveau règlement européen sur la protection des données personnelles entrera en application le 25 mai 2018. Ce texte, contrairement à une directive, est directement applicable dans l’Union européenne, sans nécessiter de transposition dans les différents États membres. Ce cadre juridique commun doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique. Son objectif est de « renforcer le contrôle des citoyens européens sur l’utilisation de leurs données personnelles tout en simplifiant et unifiant la réglementation pour les entreprises », résument Bernard Rineau, avocat, et Julien Marcel, juriste (1).
Il existait déjà une réglementation européenne. Le RGPD modernise la directive européenne de 1995 datant des débuts d’internet. « Il ne fait que renforcer la loi de confidentialité des données personnelles à laquelle toute entreprise française devait déjà se conformer dans le cadre de la loi Informatique et liberté », écrit Yves Pellemans, directeur technique d’Axians France (2), spécialiste des solutions de technologies de l’information et des communications. La voix de la raison face à la multiplication des déclarations alarmistes sur la conformité obligatoire des entreprises au règlement. La Commission nationale de l’informatique et des libertés (Cnil) appelle à la vigilance face aux messages frauduleux reçus en particulier par des PME, artisans et commerçants. Ces sollicitations insistent généralement sur les sanctions financières encourues et sur un prétendu mandat ou recommandation de la Cnil pour une mise en conformité.
Ce qui change Le RGPD conforte le caractère central de la personne et renforce la maîtrise par l’individu de ses données. Source : Cnil - Règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques |
De fait, c’est souvent sous l’angle des sanctions que l’on aborde le RGPD. « Les amendes administratives peuvent s’élever, selon la catégorie de l’infraction, à 10 à 20 millions d’euros ou, dans le cas d’une entreprise, à 2 à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu », précise la Cnil. Un risque dont il vaut mieux se prémunir. Mais le texte du règlement, « très long, complexe et technique, est particulièrement difficile à aborder pour les entreprises et les administrations », reprend Bernard Rineau.
Rien d’étonnant à ce que les offres d’audit, de conseil et de formation se multiplient. Exemple parmi d’autres, Bureau Veritas propose une certification pour démontrer sa conformité au RGPD, sur la base d’un référentiel technique conçu pour s’intégrer aux normes Iso existantes. Un outil réalisé en collaboration avec Alain Bensoussan Avocats Lexing. En partenariat avec ce même cabinet, la Ficime (3) a publié, fin 2017, un guide pratique du RGPD destiné à toutes les entreprises exerçant en Europe. Pour Alain Bensoussan, le règlement devrait surtout « avoir un effet positif puisqu’il renforce les obligations de sécurité des entreprises, donnant ainsi à leurs clients l’assurance d’un niveau de protection accru pour le traitement de leurs données personnelles. Il permet, ce faisant, d’accroître également la confiance de leurs partenaires et collaborateurs, et de renforcer leur position concurrentielle ».
La Cnil propose, quant à elle, de nombreux outils pour se préparer au règlement. Elle met aussi à disposition un logiciel gratuit pour réaliser son analyse d’impact sur la protection des données, une bonne pratique qui « aide les organisations à construire des traitements de données respectueux de la vie privée et à démontrer leur conformité au RGPD ».
Ce dernier comporte de très nombreux renvois au droit national. Pour la Cnil, la France devra donc « disposer impérativement d’une nouvelle loi Informatique et liberté avant mai 2018 », sous peine de le rendre très largement inapplicable en France. Fin janvier, le projet d’adaptation de cette loi, entrée en vigueur en 1978, n’était toujours pas voté.
Anne-Caroline RENARD
(1) L’actualité du RGPD, Village de la Justice, janvier 2018
(2) Nouveau règlement sur la protection
des données : dédramatisons la GDPR !
La Tribune, novembre 2017
(3) Fédération des entreprises internationales
de la mécanique et de l’électronique.