Le règlement général sur la protection des données (RGPD) 1 adopté le 27 avril 2016 établit un nouveau cadre de protection des données à caractère personnel en renforçant les droits des personnes concernées par les traitements de ces données et, simultanément, les obligations qui incombent aux responsables et aux sous-traitants de ces traitements. Il entrera en application à compter du 25 mai 2018.
Ce nouveau texte innove avec des concepts clés, et crée de nouvelles opportunités pour les entreprises traitant des données.
I. Les concepts clés de la nouvelle règlementation des données personnelles.
1. Le privacy by design
Le principe du privacy by design consiste à intégrer en amont les problématiques de protection de la vie privée et des données à caractère personnel. Cette démarche proactive et préventive passe par exemple par la limitation de la quantité de données collectées, ou encore par l’anonymisation de ces données.
Le privacy by design protège la personne concernée par défaut, sans solliciter sa vigilance, tout au long du cycle de vie de la technologie concernée.
Ce concept ne s’oppose en aucun cas aux impératifs du business, mais, par un jeu à somme positive, constitue un avantage concurrentiel. La réalisation d’Etudes d’Impact permet alors d’anticiper les mesures de protection nécessaires.
2. L’accountability
L’accountability comprend deux volets :
d’une part, ce principe renvoie à l’obligation pour le responsable d’un traitement de mettre en place des mesures qui lui permettent de se conformer à la réglementation.
d’autre part, il doit en rendre compte en toute transparence, tant à l’autorité de contrôle qu’aux personnes qui font l’objet des traitements.
Pour savoir si vous êtes en conformité, il est donc nécessaire de procéder à l’audit des traitements que vous réalisez. Dans ce cadre, le Cabinet HAAS réalise régulièrement des audits labellisés par la CNIL.
3. L’étude d’impact ou PIA
Le responsable d’un traitement et son sous-traitant doivent réaliser une analyse d’impact relative à la protection des données à caractère personnel, dite « Privacy Impact Assesment ».
Il s’agit de cartographier les risques propres à chaque traitement mis en œuvre, en fonction de leur vraisemblance et de leur gravité. En miroir sont listées les mesures organisationnelles, informatiques, physiques et juridiques mises en œuvre pour y faire face. L’étude d’impact consiste à vérifier leur adéquation, et à défaut, déterminer des mesures proportionnées aux risques mis à jour et nécessaires au respect des exigences règlementaires.
Le Cabinet HAAS Avocats accompagne les entreprises dans la réalisation d’études d’impact, et vérifie l’efficacité des mesures de sécurité et de protection grâce à la réalisation de tests d’intrusion.
4. Le Data Protection Officer 2 (DPO)
Le règlement impose la désignation d’un DPO afin d’assurer la conformité des traitements de données à caractère personnel mis en œuvre par les administrations publiques et les entreprises dont les traitements présentent un fort risque d’atteinte à la vie privée.
Le DPO est le porte-parole de l’organisation pour ce qui a trait aux données personnelles : il est le contact privilégié de l’autorité de contrôle, en matière de conformité des traitements, et des personnes concernées par ces traitements, afin d’exercer leurs droits. Outre les prérogatives du correspondant informatique et liberté (CIL), il devra informer ces interlocuteurs des violations de données personnelles qui surviennent dans l’organisation, et en analyser l’impact.
5. Le profilage
Le profilage est un traitement automatisé de données à caractère personnel permettant la construction d’une information complexe sur la personne concernée, comme ses préférences, son efficacité au travail ou encore ses déplacements.
Ce type de traitement peut aboutir à une prise de décision automatisée emportant des conséquences juridiques ou similaires, sans aucune intervention humaine. En ce sens, le profilage constitue un danger pour les libertés individuelles. C’est pourquoi les responsables sont contraints d’en limiter les risques et de garantir les droits des personnes concernées, notamment en leur permettant de requérir l’intervention humaine ou de contester la décision.
6. Le droit à l’oubli
Le droit à l’oubli permet à une personne d’éviter que des informations sur son passé n’interfèrent avec sa vie actuelle. Dans la sphère numérique, il rassemble le droit à l'effacement et le droit au déréférencement. D’une part, la personne peut faire disparaître du réseau électronique un contenu susceptible de lui nuire et, d’autre part, elle peut dissocier un mot clé (comme son nom et prénom) de certaines pages web sur un moteur de recherche.
Le Cabinet HAAS vous accompagne dans la mise en œuvre de votre droit à l’oubli et dans vos démarches auprès des différents interlocuteurs afin de le faire appliquer.
******
S’il renforce les contraintes qui pèsent sur les responsables et sous-traitants de traitements de données, le RGPD offre aussi de nouvelles perspectives et opportunités pour les entreprises sur le marché des données.
II. Les opportunités offerts par le RGPD.
1. Allègement des formalités et guichet unique
Le RGPD supprime l’obligation de déclaration préalable à la mise en œuvre de tout traitement et remplace ces formalités par la tenue d’un registre de traitements, qui devient obligatoire.
En outre, le RGPD crée un guichet unique : en l’absence de législation nationale spécifique, une autorité de contrôle principale située dans l’État membre dans lequel l’organisation a son principal ou unique établissement sera en charge de contrôler l’application du Règlement.
Les organisations détermineront leur autorité de contrôle en fonction du lieu d’établissement des fonctions de management pour la supervision du traitement des données, qui permettra d’identifier l’établissement dit principal, y compris lorsqu’une seule société gère les opérations d’un groupe.
Cet interlocuteur unique permettra aux entreprises de réaliser de précieux gains de temps et financiers en simplifiant leurs démarches.
2. Règlementation unifiée, transferts facilités
Pour favoriser le marché européen de la donnée et de l’économie numérique, et ainsi créer un environnement économique propice, le RGDP renforce la protection des données personnelles et des libertés individuelles.
La règlementation unique permettra aux entreprises de réduire fortement le cout des traitements mis en œuvre à l’échelle européenne : elles n’auront plus à se préoccuper des multiples législations nationales pour la collecte, le transfert ou le stockage des données qu’elles utilisent.
En outre, puisque les données respecteront les législations de tous les pays européens, elles pourront être échangées et avoir une valeur équivalente dans les différents pays, alors qu’elles avaient auparavant des prix différents selon la législation respectée, mais également un coût très variable pour les entreprises qui les collectaient.
3. Un champ d’application territorial étendu pour une concurrence équitable
L’application du règlement s’étend aux entreprises dont le siège se situe hors de l’UE et qui souhaitent proposer des biens ou des services sur le marché européen, dès lors qu’elles mettent en place des traitements de données à caractère personnel concernant des résidents de l’UE. Le suivi de ces résidents sur internet destiné à créer des profils est également couvert par son champ d’application.
De ce fait, les entreprises européennes, soumises à des règles strictes et potentiellement couteuses, ne se verront pas pénalisées par la concurrence internationale sur le marché commun. De plus, elles seront susceptibles d’acheter à des entreprises non européennes des données correspondant aux exigences règlementaires qui leur incombent, élargissant ainsi le marché des données.
4. L’ouverture à la concurrence des prestations de services numériques
Le droit à la portabilité des données permet aux personnes concernées par un traitement de récupérer leurs données dans un format exploitable ou de faire transmettre leurs données à un autre responsable de traitement si cela est techniquement possible.
Autrement dit, le client pourra changer de prestataire de services numériques (e-mails, photos etc.) sans passer par une fastidieuse et chronophage récupération manuelle. En levant ces barrières techniques, le règlement fluidifie le marché, et offre à l’utilisateur une mobilité numérique accrue. Les prestataires de services numériques seront ainsi soumis à une plus forte concurrence, les incitant à proposer des services de meilleure qualité à bas prix, puisque les clients ne seront plus les otages de leur prestataire initial.
5. Labels et certifications
Le comité européen de la protection des données et les institutions de l’UE proposeront des certifications et des labels afin d’attester de la conformité au règlement des traitements d’une entreprise.Reconnaissance monnayable et atout véritable pour l’image de marque d’une entreprise, les labels et certifications seront également un argument commercial fort pour gagner la confiance de clients potentiels et les fidéliser.
Gérard HAAS, Avocat
http://www.haas-avocats.com
« Article initialement publié dans le JMJ n°53 »