La loi Informatique et Libertés a quarante ans. Mais dans moins de deux mois, elle sera bouleversée par le règlement général de protection des données (RGPD), présenté comme une révolution en matière de protection des données personnelles, à l’ère du Big Data et de l’intelligence artificielle… Quel en sera l’impact pour les entreprises ? 

Malgré des mois de débat et de nombreuses mises en garde, l’entrée en application dans moins de deux mois du règlement général de protection des données (RGPD), prévue pour le 25 mai 2018, va prendre de court de nombreuses entreprises. Ce nouveau règlement constitue une petite révolution pour les entreprises dans leur manière de gérer et de protéger les données personnelles qu’elles collectent et traitent. Le RGPD poursuit de multiples objectifs avec comme ligne directrice l’idée d’un renforcement de la libre circulation des données dans l’Union dans un contexte général où l’économie du numérique et spécialement des données prend chaque jour plus d’importance. Cela s’accompagne d’une réelle volonté de simplification du droit – et notamment des formalités incombant aux entreprises préalable à la collecte et au traitement de données à caractère personnel, mais aussi de précision et de modernisation des définitions et des régimes juridiques applicables. Mais surtout, le RGPD entend consolider la protection des données à caractère personnel des individus visés par un traitement. Ce faisant, il redessine les frontières en matière de données personnelles. En effet, le RGPD a pour ambition de s’appliquer à toute personne résidant dans l’Union, quel que soit le pays dans lequel se trouve le responsable du traitement. Ainsi s’élargit le champ d’application des règles européennes applicables en matière de données personnelles. Une ambition très, voir trop, optimiste : il faudra mesurer la capacité de l’Europe à rendre effective une telle norme. 

Les nouvelles contraintes pour l’entreprise…

Le RGPD a pour principal objectif la consolidation des droits des individus face au traitement de leurs données à caractère personnel. C’est en ce sens que le règlement consacre six nouveaux droits au niveau communautaire, ce qui, du point de vue de l’entreprise, engendre en réalité six nouvelles obligations. Ces nouveaux droits constituent néanmoins dans leur grande majorité une consécration, à l’échelle de l’Europe, de droits déjà reconnus en France, dans la loi ou la jurisprudence. Les principales innovations du Règlement sont ainsi les droits et obligations de  la protection des données par défaut et de la protection des données dès la conception consacrés par le règlement. 

Ces notions, très floues pour les non-initiés au monde du traitement de la donnée, renvoient à l’idée que le responsable de traitement se doit de prendre en compte les droits et les intérêts des individus concernés dès leur traitement et comme paramétrage par défaut. Ces principes devront être appliqués par toute entreprise collectant des données. Par ailleurs, le RGPD a consacré le droit à la portabilité de ses données, permettant aux personnes intéressées de récupérer une partie de leurs données dans un format ouvert et lisible par machine, mais également de les transférer d’un organisme à un autre. Il convient donc pour les entreprises de se préparer à l’avance au potentiel exercice d’un tel droit, en offrant aux personnes dont les données sont collectées la possibilité de télécharger directement leurs données personnelles en ligne. Les entreprises de sous-traitance du traitement de la donnée sont également impactées par les nouvelles obligations fixées par le RGPD puisque les sous-traitants sont désormais soumis aux mêmes obligations que les responsables de traitement. 

Peu compensées par la simplification

Aspect non négligeable pour les entreprises, le RGPD vient supprimer les formalités préalables auprès de l’autorité de contrôle (CNIL) : déclaration simplifiée, déclaration normale, demande d’autorisation… Cette suppression des formalités pourrait constituer, a priori, une forme de simplification des formalités administratives pour les entreprises et ainsi un gain de temps non négligeable. Cependant, les entreprises devront tenir un registre de ces traitements pour être à jour de leurs obligations. Ce même registre était auparavant réservé aux seules entreprises bénéficiant d’un Correspondant Informatiques et Libertés (CIL). De plus, les formalités auprès des autorités de contrôle devront encore être réalisées lorsque le traitement des données sera considéré, par une analyse d’impat préalable, comme présentant un risque élevé pour les droits et libertés des personnes. Dans un tel cas, l’autorité de contrôle devra être consultée par le responsable de traitement afin de rendre un avis sur la question. Cela constituera donc indirectement une demande d’autorisation de traitement tel qu’on la connaissait sous l’empire de notre loi Informatique et Libertés. Une des autres grandes évolutions provient de la création et de la quasi généralisation des délégués à la protection des données (DPO : Data Protection Officer) venant remplacer dans les faits le rôle du correspondant informatique et libertés (CIL). Sa nomination est obligatoire pour les entreprises lorsque leur activité consiste en un traitement à grande échelle de catégories particulières de données ou encore lorsque leur activité consiste en des opérations de traitement exigeant un suivi régulier à grande échelle des personnes. Qu’il soit interne ou externe à l’entreprise, le délégué à la protection des données est nommé par le responsable du traitement. La nomination d’un délégué permet de s’assurer du respect des obligations qui seront nouvellement applicables et ainsi de ne pas faire courir de risque inconsidéré à son entreprise. 

Renforcement des sanctions 

Enfin, ce nouveau règlement constitue un changement majeur pour les entreprises qui doivent dorénavant en tenir compte à raison des lourdes sanctions qu’elles encourent. Auparavant plafonnées à 150 000 € , les sanctions peuvent désormais atteindre un plafond de 20 000 000 €  ou 4% du chiffre d’affaires mondial de l’entreprise sanctionnée. Sans sanction dissuasive, le RGPD serait voué à être aussi peu respecté par les entreprises traitant des données que la loi Informatique et Libertés. L’Europe l’a bien compris. 

Par Vanessa Bouchara, avocate spécialiste en droit de la propriété intellectuelle