Depuis son entrée en vigueur en mai dernier, le RGPD ne cesse de faire parler de lui : censé garantir une meilleure protection des données à caractère personnel des particuliers au sein de l’Union Européenne, ce règlement impose une plus grande responsabilité de la part des structures et entreprises collectant ce type de données. Mais quelles sont les raisons de cette réforme réglementaire ? Quels sont les principes de ce nouveau règlement ? Quels sont les outils mis à disposition des entreprises et organismes collecteurs pour effectuer une bonne mise en conformité aux règles de protection de ces données ? Voici quelques clés de décryptage pour appréhender les principes de cette nouvelle réglementation européenne.
Contexte de la mise en place du RGPD
Proposée à l’initiative de la Commission Européenne, la réforme de la Directive sur la protection des données personnelles de 1995 devait permettre une actualisation de la législation compte tenu de l’évolution des technologies. Proposé dès 2012 par la Commission européenne, le projet de loi s’est élaboré dans un contexte particulier : l’arrêt du 13 mai 2014 de la Cour de justice de l’Union européenne entérinant l’existence d’un droit au déréférencement accordé à la faveur des internautes européens contre Google a confirmé la nécessité de réformer la réglementation concernant la protection des données personnelles.
Objectifs du RGPD
Objet de quatre années de négociations législatives au Parlement Européen, le Règlement général pour la protection des données (RGPD en français ou GDPR signifiant General Data Protection Regulation en anglais) est entré en vigueur ce 25 mai 2018 après avoir été adopté le 14 avril 2016 et promulgué le 27 avril 2016. Ayant pour objectif le renforcement et l’unification de la protection des données des particuliers au sein de l’Union Européenne, ce règlement est applicable en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. L’idée est de permettre aux particuliers de garder la main sur le contrôle de leurs données personnelles tout en offrant aux organismes collecteurs de ces données, un cadre réglementaire harmonisé au niveau européen et une plus grande flexibilité concernant la gestion de ces mêmes données.
Principaux dispositifs du RGPD
Concrètement, ce nouveau règlement se traduit de plusieurs manières du point de vue des organismes et entreprises traitant ces données de façon informatique :
- Cadre réglementaire harmonisé et applicable à tous les pays membres de l’Union Européenne ;
- application extra-territoriale : les entreprises implantées hors UE ou entreprises non européennes traitant des données à caractère personnel de ressortissants européens sont soumises à ce règlement ;
- consentement explicite et positif : les entreprises collectant les données consentent à donner plus de contrôle aux utilisateurs de leurs services.
- possibilité de désigner un délégué à la protection des données (obligatoire pour organismes publics selon certaines conditions).
Du point de vue des personnes concernées, le RGPD formalise le droit à l’effacement et le droit à la portabilité des données (en cas d’atteinte à la vie privée), le profilage, le droit d’être informé en cas de piratage des données, la protection des données dès conception et la sécurité par défaut.
Quid de l’application du RGPD en France ?
Malgré différents désaccords entre l’Assemblée Nationale et le Sénat concernant notamment l’âge à partir duquel un jeune est considéré comme majeur sur le plan numérique, le projet de loi transposant le RGPD à la législation française a été validé pour l’essentiel et publié au Journal Officiel le 21 juin 2018.
Comment procéder à une bonne mise en conformité avec le RGPD ?
Si la mise en conformité avec le RGPD est désormais obligatoire pour toutes les entreprises traitant des données informatiques à caractère personnel (sous peine de lourdes sanctions en cas de non mise en conformité), la Commission nationale de l’informatique et des libertés (CNIL) prévient toutefois des risques d’arnaques liés à certaines prestations. Pour les aider, elle met à disposition l’outil PIA et insiste sur le fait de faire appel à un expert confirmé.