International, Société

Des changements majeurs à prévoir en matière de protection de nos données personnelles

Souvent, sans que nous nous en rendions compte, nos données personnelles circulent sur internet, sont analysées, stockées, transmises et parfois même monnayées. Face à l’éclosion d’une nouvelle économie reposant sur l’interconnexion des données et leur valorisation, l’opinion publique s’est intéressée, de façon grandissante au cours des dernières années, au sort de ces informations si personnelles dont pourtant la maîtrise échappe à leurs véritables titulaires.Faisant écho à ces inquiétudes, les institutions européennes ont préconisé la mise en place d’un nouveau cadre juridique qui bouleversera la protection de nos données personnelles à partir du 25 mai 2018.

Telle est en effet la date d’entrée en vigueur du règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, plus communément désigné sous le nom de RGPD, lui-même abréviation de l’expression règlement général sur la protection des données.

Nouveau texte de référence en matière de protection des données personnelles, le RGPD vient abroger et remplacer l’ancien instrument européen qui jusqu’à présent régissait la matière, à savoir la directive 95/46/CE.

Son adoption poursuit essentiellement deux buts.

D’une part, le législateur européen a souhaité adapter son arsenal juridique aux besoins liés à la protection des données personnelles dont la marchandisation a atteint des formes et des résultats difficilement imaginables il y a encore quelques années.

En effet, la directive de 1995 jusqu’alors en vigueur, bien que relativement récente, a été rédigée à une période où, à titre d’exemple, Google ou Facebook n’existaient pas encore. Ainsi, la rapidité avec laquelle le numérique s’est par la suite développé l’a naturellement rendu obsolète. Un nouveau cadre fixant avec précision les obligations des entreprises ayant accès aux données personnelles ainsi que les droits de leurs titulaires était donc devenu indispensable.

D’autre part, la fragmentation juridique résultant des différents régimes mis en place dans chaque État membre épousait mal les caractéristiques d’une question aussi transfrontalière que celle de la protection des données personnelles, lesquelles peuvent, avec une extrême facilité, circuler d’un pays à l’autre. Une harmonisation du panorama juridique européen dans cette matière était également devenue nécessaire.

Proposé en 2012 par la Commission européenne, le règlement général sur la protection des données a nécessité quatre années de travaux préparatoires et, adopté le 8 avril 2016, il n’entrera en vigueur que le 25 mai 2018.

Les institutions européennes ont volontairement souhaité laisser s’écouler un certain laps de temps entre l’adoption du texte et son entrée en vigueur pour une raison simple, mais de taille.

En effet, contrairement aux directives – qui lient tout État membre quant au résultat à atteindre, tout en laissant aux instances nationales le choix quant à la forme et aux moyens à adopter -, les règlements européens ont une portée générale et sont directement applicables dans tout État membre dès leur entrée en vigueur. Ainsi, à partir du 25 mai prochain, toute personne physique pourra réclamer l’application du RGPD et toute entreprise pourra être sanctionnée pour violation de ses dispositions. L’instauration d’une période d’adaptation et de mise en conformité s’imposait donc.

À quelques semaines de l’entrée en vigueur du règlement, et à la lumière du caractère immédiat de son application, il est important de revenir sur les principales évolutions qui en résulteront.

En premier lieu, il est fondamental de rappeler que le RGPD a vocation à concerner toute entreprise, même celles dont l’activité principale est sans lien avec la collecte ou la gestion de données personnelles.

En effet, il s’appliquera à toute opération de traitement (dont la notion renvoie à celles de collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification) de données à caractère personnel, qui sont quant à elle définies comme « toute information se rapportant à une personne physique identifiée ou identifiable » (Article 4), et ce, peu importe la nature de l’activité de l’entreprise en question.

Ainsi – toute entreprise traitant à tout le moins des données sur ses salariés -,  le nombre de sociétés qui seront soumises aux dispositions du règlement sera extrêmement important.

De même, le législateur européen a choisi de lui conférer un champ d’application territoriale large. Le RGPD aura en effet vocation à s’appliquer à chaque fois qu’un responsable de traitement ou sous-traitant sera établi sur le territoire de l’Union européenne (UE), mais aussi dès qu’un responsable de traitement ou sous-traitant hors UE effectuera un traitement lié aux données de personnes se trouvant sur le territoire de l’Union.

Pour ce qui est de son contenu, il est important de souligner que le règlement marque la consécration de différents droits et mécanismes en faveur des personnes physiques et visant la protection de leurs données.

En premier lieu, à travers le RGPD, le législateur européen a officiellement reconnu le droit à l’oubli, que la Cour de justice de l’Union européenne avait déjà affirmé lors d’un célèbre arrêt rendu le 13 mai 2014 Google Spain. Désormais, les personnes physiques pourront donc demander aux entreprises détenant leurs données personnelles de les supprimer totalement ou partiellement.

Outre le respect de la vie privée, le règlement attache également une grande importance à la transparence de l’utilisation des données. Ainsi, les personnes physiques devront être informées du traitement de leurs données et pourront exiger un droit à la portabilité leur permettant de récupérer les données les concernant, et ce, aussi bien que ce soit pour un usage personnel qu’afin de les transférer de l’organisme les exploitant (site internet, banque, entreprise, etc.) vers un autre de leur choix.

De surcroît, le RGPD devrait mettre un terme aux cases pré-cochées et autres demandes de consentement celées. En effet, le règlement exige que pour exploiter les données d’une personne, les responsables de traitement ou sous-traitants devront au préalable en recueillir le consentement résultant d’un « acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale » (Considérant n°32).

Enfin, concernant la défense en justice des personnes physiques, le RGPD, sans introduire une action de groupe en matière de données personnelles, consacre la possibilité pour toute personne concernée de mandater un organisme, une organisation ou une association à but non lucratif pour qu’il introduise une réclamation en son nom.

Si les droits des personnes physiques se trouvent renforcés par le règlement, corrélativement, les obligations des entreprises sont alourdies.

En effet, outre les droits susmentionnés nouvellement consacrés, les entreprises devront également respecter plusieurs autres obligations. Parmi celles-ci, est à signaler celle relative à la tenue d’un registre interne des traitements des données personnelles dans lequel les entreprises indiqueront la finalité de chaque collecte de données ou encore celle relative à la réalisation d’une analyse d’impact visant à mesurer les risques juridiques et techniques pouvant être générés par le traitement des données.

Par ailleurs, le règlement ne se limite pas à alourdir les obligations des entreprises en matière de traitement de données personnelles : les sanctions auxquelles elles s’exposeront en cas de violation des dispositions du RGPD sont également importantes. Aux termes de l’article 83 du règlement, les entreprises qui ne se conformeront pas aux nouvelles dispositions ou les violeront s’exposeront à des amendes administratives pouvant aller, selon la catégorie d’infraction, de 10 000 000 € à 20 000 000 € ou de 2 à 4% du chiffre d’affaires mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Ainsi, c’est au moyen de sanctions importantes, cumulées au caractère immédiat de l’application du règlement, que l’UE a décidé de réformer la protection des données personnelles.

Le nouveau dispositif trouve certainement ses points majeurs d’intérêt dans sa large applicabilité qui imposera une rapide et significative transformation du panorama en matière de traitement des données.

Les entreprises sont invitées, depuis plusieurs mois, à adopter toutes les mesures nécessaires à la mise en conformité avant le 25 mai 2018. Il n’en demeure pas moins qu’une application différée selon le type d’entreprise visée aurait peut-être été souhaitable.

Rappelons qu’en effet ce régime, qui vise en filigrane à endiguer surtout les pratiques des géants du traitement de données tels que Google, Amazon, Facebook, Apple et Microsoft (GAFAM), s’applique en réalité de manière indifférenciée à tout type d’entreprise.

Ainsi, toute PME ou TPE se trouve visée par les dispositions du RGPD et doit, comme les géants du secteur, s’y conformer avant le 25 mai prochain. Au vu de l’importance des sanctions prévues, celles-ci auraient peut-être pu bénéficier de davantage de temps ou d’un régime moins contraignant.

Certainement, il faut y voir une volonté forte de la part des institutions européennes de garantir, à l’heure de la marchandisation de nos données, une protection accrue de nos informations personnelles quel que soit le type d’entreprise les traitant et quelle que soit la finalité de l’opération en cause.

Ozan Akyürek

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *