Depuis les années nonante, le traitement des données à caractère personnel a profondément évolué. Il était impossible à l’époque d’imaginer le succès d’Internet, des médias sociaux, des technologies mobiles ou du cloud computing. Et ce n’est pas fini: des évolutions telles que l’Internet des Objets, le mobile health, l’administration digitale vont également s’introduire de manière permanente dans la vie privée de chacun d’entre nous. La “donnée” est aujourd’hui au cœur d’un business florissant, celui de la “Digital Economy”.
Pourquoi une nouvelle réglementation européenne de plus ?
Aujourd’hui, notre quotidien est marqué par des évolutions numériques continuelles qui nécessitent un encadrement réglementaire adapté. Or, en termes de protection des données à caractère personnel, l’Europe disposait jusqu’en 2016 d’un référentiel législatif vieillissant composé de deux directives datant de 1995 et 2002.
Il était donc temps qu’une nouvelle réglementation européenne soit élaborée et mise en œuvre. Le 14 avril 2016 et après de longues négociations, le Parlement européen a adopté le Règlement général sur la protection des données – RGPD (“General Data Protection Regulation” ou GDPR en anglais). Ce règlement est entré en vigueur le 24 mai 2016, la date limite de mise en conformité des entreprises et des organisations étant fixée au 25 mai 2018.
Le RGPD constitue le nouveau texte de référence européen en matière de protection des données à caractère personnel et abroge les législations existantes en la matière au niveau européen mais également au niveau de chaque Etat-membre. Il a pour objectif de renforcer et d’unifier la protection des données pour les citoyens au sein de l’Union européenne.
L’Europe voit dans la protection des données à caractère personnel une opportunité “business” très importante ainsi qu’un moyen de renforcer le droit des citoyens à la protection de leur vie privée.
En effet, l’Europe veut assurer à ses citoyens un traitement transparent, uniforme et sécurisé de leurs données privées et ce, afin d’augmenter leur confiance dans le traitement de leurs données.
Cette volonté fait suite, d’une part, aux diverses “affaires” récentes (NSA, Snowden, Google, Facebook, etc.) et, d’autre part, au développement rapide et continu de nouveaux projets de traitement numérique. Dans ce cadre, citons l’exemple de l’administration belge avec la mise en place d’un plan numérique au niveau de l’administration incluant le plan eSanté, le plan d’action Digital Belgium et Digital Champions…
Régional-IT publiera, fin de semaine, un dossier complet dédié à l’arrivée de ce nouveau règlement: responsabilités, défis, impact sur les contrats, premiers pas pour une mise en conformité…
Le RGPD dans les grandes lignes
Ce nouveau règlement apporte de grandes avancées par rapport aux divers textes légaux existants et non coordonnés au sein de l’Europe. Ce règlement est:
- un règlement et non une directive ; dès lors, on parle d’obligation (“must”) et non de souhait (“should”)
- une législation pan-européenne, unique pour l’ensemble des états membres, ne devant pas être transposée en législation nationale
- un texte applicable à l’ensemble des entreprises et des organisations nationales, européennes et internationales qui ont une relation avec un citoyen ou une entité européenne.
Le RGPD représente à ce stade un vrai challenge pour les entreprises et les administrations. En effet, il introduit bon nombre de nouveautés et d’améliorations importantes qu’il convient de prendre en considération. A titre d’exemples, citons les quelques éléments suivants:
- la désignation d’un Data Protection Officer (DPO) ou délégué à la protection des données ;
- la réalisation d’une analyse d’impact sur la vie privée (Privacy Impact Assessments) avant la mise en place d’un traitement de données ;
- la mise en œuvre du principe de “Privacy by Design” visant à assurer que la protection des données est intégrée dès la conception et au sein même de l’architecture des systèmes de traitement et des pratiques internes ;
- la mise en œuvre du principe de “Privacy by Default” visant à assurer que, par défaut, seules les données à caractère personnel nécessaires au traitement sont traitées.
- la mise en place de mesures de sécurité visant à se protéger des menaces telles que la destruction ou la perte accidentelle, le traitement illégal, la dissémination, l’accès ou encore l’altération non-autorisée de données à caractère personnel ;
- la mise en place du principe de responsabilisation, et l’obligation du responsable de traitement de prouver sa conformité par l’adoption de politiques internes et de mécanismes visant à assurer cette conformité ;
- la réalisation de la documentation de toutes les opérations de traitement de données ;
- la mise en œuvre de procédures garantissant que le citoyen puisse accéder facilement à ses données, en regard des droits d’accès et de rectification des données collectées;
- la mise en œuvre de procédures visant à assurer le “droit à l’oubli” instauré par le règlement et permettant au citoyen européen d’exiger la suppression de ses données s’il ne souhaite plus qu’elles soient sujettes à traitement ;
- la notification des violations de données personnelles (“Data Breach Notification”) dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance
- La mise en place du consentement explicite au traitement et au transfert des données à caractère personnel.
Last but not least, le règlement prévoit maintenant le droit de recours et le droit à la réparation. Sur ce point, la Commission européenne prévoit la possibilité de délivrer des amendes, notamment en cas de mise en œuvre inadéquate des exigences reprises au sein du règlement, incluant notamment les éléments précédemment cités. Il est important de noter que les amendes prévues par le règlement sont considérables, puisqu’elles peuvent aller jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires mondial.
Patrick Bochart, Joffrey Goumet, Mathieu Briol
consultants Mielabelo
Mielabelo est un cabinet de résultats,
spécialisé dans l’accompagnement des entreprises vers l’excellence organisationnelle.
Découvrez-nous sur Facebook
Suivez-nous sur Twitter
Retrouvez-nous sur LinkedIn
Régional-IT est affilié au portail d’infos Tribu Médias.