Le 25 mai 2018, un règlement européen relatif à la protection des données des personnes physiques entrera en vigueur. En effet, l'Europe a souhaité modifier son cadre législatif pour s'adapter aux nouvelles réalités du numérique, afin d'étendre le droit des citoyens dans la protection de leur vie privée. Elle compte poursuivre 3 objectifs qui concernent les entreprises : renforcer le droit des personnes ; encadrer les acteurs traitant les données ; réguler les traitements de données par les entreprises en renforçant la coopération entre les autorités de protection.
Obligations et simplification
Mais qu'entendons nous par données ? Il s'agit de la collecte, de l'enregistrement, du stockage, de la recherche, de la transmission, du blocage ou de l'effacement de données gérés par des personnes morales, en provenance de personnes physiques.
Pour les entreprises, ces nouvelles dispositions s'accompageront d'une simplification des formalités. Mais aussi de la possibilité de s'adresser à un interlocuteur unique pour toutes les autorités de protection des données européennes. Afin de se conformer aux obligations, elles disposeront d'une boîte à outils (ex : code de conduite, certification). Ces outils pourront être modulés en fonction du risque sur les droits et libertés des personnes. (ex : tenue d'un registre, consultation des autorités de protection, notification des failles de sécurité).
Pour les entreprises, ces nouvelles dispositions s'accompageront d'une simplification des formalités. Mais aussi de la possibilité de s'adresser à un interlocuteur unique pour toutes les autorités de protection des données européennes. Afin de se conformer aux obligations, elles disposeront d'une boîte à outils (ex : code de conduite, certification). Ces outils pourront être modulés en fonction du risque sur les droits et libertés des personnes. (ex : tenue d'un registre, consultation des autorités de protection, notification des failles de sécurité).
Qui est concerné ?
Le règlement concerne toutes les entreprises qui traitent des données personnelles pour le compte de particuliers, dans le cadre d'un service ou d'une prestation. Une plus grande vigilance sera aussi exercée sur : les prestataires de services informatiques, les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique ou anciennement sociétés de services et d'ingénierie en informatique (SSII) qui ont accès aux données, les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients Les sous-traitants des structures citées précédemment.
Quels risques ?
Les entreprises concernées ne doivent pas négliger ce Règlement européen. Les utilisateurs doivent être informés de l'usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s'y opposer. En cas de litige, la charge de la preuve du consentement incombera au responsable de traitement dans l'entreprise. Et la loi est claire : la matérialisation de ce consentement doit être non ambigüe. En cas de violation des droits de la personne physique, l'entreprise responsable pourra encourir une sanction pouvant s'élever à 4% de son chiffre d'affaires mondial. Des sanctions pénales peuvent être prononcées allant jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende en cas de négligence ou non-respect des dispositions légales.
Les recours ne seront plus seulement individuels. Les associations actives dans le domaine de la protection des droits et libertés des personnes auront la possibilité d'introduire des recours collectifs en cas de manquement à la protection des données personnelles. Enfin, un droit à réparation des dommages matériel ou moral a été introduit. Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du Règlement aura le droit d'obtenir du responsable du traitement ou du sous-traitant, réparation du préjudice subi.
Les recours ne seront plus seulement individuels. Les associations actives dans le domaine de la protection des droits et libertés des personnes auront la possibilité d'introduire des recours collectifs en cas de manquement à la protection des données personnelles. Enfin, un droit à réparation des dommages matériel ou moral a été introduit. Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du Règlement aura le droit d'obtenir du responsable du traitement ou du sous-traitant, réparation du préjudice subi.
Un arbitre unique
Citoyens et entreprises auront comme seul interlocuteur, l'autorité de protection des donnés de l'Etat membre où ils se trouvent. Pour la France, il s'agit de la Commission Nationale Informatique et Libertés (CNIL) ; cette dernière assurant la présidence jusqu'en 2018 du G29, organisation qui réunit l'ensemble des CNIL européennes. D'ici là, les entreprises peuvent se préparer et anticiper le Règlement sur www.cnil.fr.
A propos de l'auteur : Jérôme Tarting est P-DG de Clic Formalités.
A propos de l'auteur : Jérôme Tarting est P-DG de Clic Formalités.