Une réforme majeure de la protection des données

Après quatre années de travail, le Parlement européen a adopté le nouveau règlement sur la protection des données, paru au journal officiel le 4 mai. Le premier grand changement est qu’il s’agit d’un règlement et non d’une directive : il sera applicable dès son entrée en vigueur prévue pour mai 2018, sans avoir besoin d’une transposition, pour une harmonisation optimale du droit des États membres. Ce règlement poursuit trois objectifs : renforcer les droits des personnes, responsabiliser les acteurs traitant des données et crédibiliser la régulation grâce à une coopération renforcée entre les autorités des États membres.

Coopération renforcée

Les entreprises seront en contact avec un guichet unique : l’autorité « chef de file », celle du pays dans lequel se trouve leur établissement principal. Cependant, concernant le traitement de données de citoyens de nationalités différentes, les autorités des États membres seront juridiquement compétentes. Dans ce cas, l’autorité « chef de file » devra être force de proposition, les autres disposeront d'un délai de quatre semaines pour approuver la décision ou formuler une objection. Si cette dernière n’est pas suivie, la question sera portée devant le Comité européen de la protection des données (CEPD) qui a vocation à remplacer le G29 et qui rendra un avis contraignant. Avec ou sans saisine du CEPD, ce sera à la « chef de file » de porter la décision choisie conjointement.

Conformité

Le règlement instaure une logique de conformité continue : les entreprises devront être en mesure de prouver à tout instant que leurs pratiques sont conformes au règlement. Jusqu’à présent, le droit européen raisonnait à partir d’une logique de conformité à un moment donné. Le fait de responsabiliser les acteurs entraîne la suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes.

Data protection officer (DPO)

Le règlement crée égalemenent une nouvelle entité : le data protection officer (DPO). Il existe trois cas dans lesquels les responsables de traitement et les sous-traitants doivent désigner ce délégué à la protection des données : s’ils appartiennent au secteur public, si leurs activités principales les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter des données dites « sensibles ». Le DPO est chargé d'informer et de conseiller, de contrôler le respect du règlement européen et du droit national, de conseiller l'organisme sur la réalisation d'une analyse d'impact et d'être le point de contact de l'autorité de contrôle.

Cela pourrait poser problème pour les entreprises disposant d’un conseiller informatique et libertés. Dans ce cas, il faudra une « clause de grand-père » pour que ce dernier puisse légitimement exercer le poste de DPO.

Sanctions harmonisées

Le règlement prévoit plusieurs sanctions pour les entreprises ignorant ces dispositions : avertissement, mise en demeure, limite temporaire ou définitive du traitement, suspension des flux de données, ordre de satisfaire aux demandes d'exercice des droits des personnes et rectification, limitation ou effacement des données. Les amendes administratives peuvent aller de 2 % à 4 % du chiffre d’affaires annuel mondial de l’entreprise ou de dix à vingt millions d’euros pour les autres organismes.

Le G29 est en marche afin d'accompagner les entreprises à se préparer pour 2018. Cependant, la sortie du Royaume-Uni de l’Union européenne pourrait ralentir le processus de conformité, il faudra attendre pour savoir si le règlement entrera bien en vigueur en mai 2018.

Emilie Smelten