Conformité RGPD : les défis de la rentrée.
Alors que le règlement général de l'Union européenne sur la protection des données (RGPD), adopté le 14 avril 2016, est applicable depuis mai 2018, les entreprises peinent encore à se conformer pleinement à cette nouvelle réglementation, tant les transformations qu’elle engage sont profondes.
Le législateur européen souhaite redonner aux citoyens le contrôle de leurs données personnelles, tout en assurant un cadre de protection des données solide et plus cohérent dans toute l'Union européenne (1), là où la directive européenne de 1995 avait échoué.
Pour bien comprendre les problématiques opérationnelles que rencontrent aujourd’hui les entreprises dans la mise en œuvre du règlement, il est important de rappeler quels sont les objectifs d’un tel texte législatif :susciter la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché intérieur ; assurer aux personnes physiques la maîtrise des données qu’ils communiquent les concernant ; garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micros, petites et moyennes entreprises, aux personnes physiques et aux autorités publiques. Le règlement entend ainsi renforcer les obligations applicables aux organismes publics et privés en matière de gouvernance et de sécurité des données à caractère personnel.
Les principaux apports du règlement
La notion de données à caractère personnel est élargie : données génétiques, données biométriques, adresse IP, etc. De nouvelles pratiques technologiques sont réglementées : le profilage, la pseudonymisation, etc.
La responsabilité du responsable de traitement est renforcée : il devra être en mesure de démontrer le bon respect des obligations qui lui incombe (renversement de la charge de la preuve) et apporter la garantie que les politiques relatives à la vie privée soient expliquées dans un langage clair et compréhensible. Le sous-traitant peut être tout aussi responsable que le responsable de traitement. Les droits des personnes sont modifiés. Certains droits sont renforcés (droit à l’effacement des données, droit d’être informé en cas de divulgation des données) d’autres sont nouveaux, comme le droit de transférer ses droits vers un autre fournisseur de données (droit à la portabilité des données). Des principes de gouvernance des données sont renforcés : transparence, limitation du traitement, le consentement recueilli doit être clair et explicite, minimisation des données ; privacy by default, privacy by design. La désignation d’un délégué à la protection des données (DPD) est obligatoire pour certains organismes publics ou privés (art. 37 et suivants).
./..
