1) Une volonté européenne pour garantir une meilleure protection des données personnelles

La collecte des données personnelles met en danger la protection de la vie privée des individus du fait du traitement sans consentement de leurs données et parfois du piratage des données.  C’est pourquoi l’Union européenne a consolidé sa législation et a publié au journal officiel le 27 avril 2016 le RGPD. Il établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données (Art 1.1) et poursuit trois objectifs : – renforcer les droits des personnes physiques – responsabiliser les acteurs traitant des données et – encourager une coopération renforcée entre les autorités de protection des données. Cette nouvelle réglementation s’adresse aux organismes publics et privés qui traitent, manipulent, gèrent ou stockent des données à caractère personnel et concerne toute personne dont les données sont collectées. Etant un règlement et non une directive, le même texte s’appliquera dans toute l’Union.

2) Les changements importants prévus par l’application du règlement

Le règlement européen sur la protection des données renforce la responsabilité des organisations et des entreprises qui doivent assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité. Un délai d’un an est donné à toute entité gestionnaire de données pour évaluer ses systèmes de traitement de données et les rendre conformes aux  nouveautés prévues par la législation. Parmi celles-ci, on compte la limitation de la quantité de données traitée dès la conception du produit ou du service et par défaut, la conduite d’étude d’impact sur la vie privée, le droit à l’oubli, la preuve du consentement pour le recueillement des données personnelles etc. Le droit à la portabilité des données et à l’opposition de toute opération marketing  pour les entreprises dont l’activité principale est le profilage permettra peut-être de rétablir la relation de confiance entre e-commerçants et internautes.

Dans ce contexte, l’Union européenne a publié un appel à propositions dans le cadre du programme Droit, Egalité et Citoyenneté, qui vise à soutenir les autorités nationales de protection des données pour qu’elles informent et aident les entreprises à se mettre en conformité mais aussi pour qu’elles sensibilisent le grand public à la protection de leurs données. Pour la période 2014-2020, ce programme finance à hauteur de 439 millions d’euros des projets qui contribuent à promouvoir les droits des citoyens européens. Le Programme H2020 finance également des projets de recherche et de mise en réseaux d’acteurs sur la protection de données dans le cadre d’objets/d’équipement connectés (Internet des objets). 

 3) Le RGPD, quelle efficacité ?

Le RGPD instaure la nomination obligatoire d’un délégué à la protection des données, en anglais DPO (data protection officer), pour les entreprises du secteur public, pour les entreprises dont l’activité principale conduit au profilage. Le rôle du DPO s’avère alors crucial pour veiller au respect de la protection des données personnelles par les entreprises. Les sociétés peuvent choisir de nommer un employé de la société en tant que DPO interne ou conseiller professionnel externe. La question de l’indépendance et de la fiabilité du DPO se pose alors.

Le non-respect des règles du RGPD peuvent faire l’objet de sanctions administratives importantes ainsi que des amendes administratives qui peuvent s’élever de 10 à 20 millions d’euros.

Face aux menaces actuelles, le RGPD peut-il inciter les entreprises à se doter de moyens et de systèmes pertinents pour protéger les données à caractère personnel? Toutes les entreprises seront-elles prêtes pour le 25 mai 2018 ?  
Découvrez les 6 étapes présentées par la CNIL pour se préparer au règlement européen.