Loading...
Loading...

RGPD : le nouveau règlement européen sur la protection des données personnelles

Accueil / Droit des Technologies Avancées, Informatique, libertés et vie privée / RGPD : le nouveau règlement européen sur la protection des données personnelles

Le nouveau règlement Européen sur la protection des données personnelles : le RGPD

Les Master Class d’ALTIJ : Intervention du 30 juin 2017 avec la participation de Monsieur Jean-Luc SAURON, président de l’association Dataring, et animée par Me France CHARRUYER, avocat associé fondateur du Cabinet ALTIJ.

Vous êtes tous concernés par la compliance et la gouvernance de vos données au sein de votre entreprise. Il s’agit d’un enjeu majeur pour les individus en matière de libertés publiques fondamentales mais également pour les entreprises puisque l’Europe contraint les acteurs économiques à un nouvel arsenal règlementaire fondé sur la responsabilité de l’entreprise via le concept d’accountability, le consentement et la protection renforcée du citoyen internaute. Le nouveau règlement de l’Union Européenne (« UE »)[1] conserve pour partie les principes posés par la précédente directive de 1995[2] en les assortissant de sanctions. Le choix de passer d’une directive à un règlement n’est pas anodin puisqu’un règlement est d’application directe dans les Etats membres (sous réserve des 57 renvois au droit national[3], notamment sur les données sensibles). Des dispositions nationales peuvent être adoptées pour la prise en compte des besoins TPE/PME : par exemple, Dublin et le Luxembourg prévoient une règlementation assez souple pour favoriser les opérateurs économiques et les GAFAM[4].

NB : 80 % des entreprises qui n’ont pas démarré le processus de mise en conformité ne seront pas prêtes.

Quoi ?

  • Toutes les données personnelles se rapportant à des personnes physiques identifiées ou identifiables
  • « Le traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier » (art. 3 du RGPD).
  • Pas de distinction qu’il s’agisse d’un traitement mis en œuvre par une personne physique ou une personne morale de droit public ou privé
  • Exceptions : caractère exclusivement privé (activité domestique) ainsi que les traitements mises en œuvre par les Etats aux fins de prévention et de détection des infractions pénales[5].

Qui ?

  • Principe : À tous les organismes qui traitent des « données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union européenne » (art. 3 du RGPD).
  • Critère de l’établissement : Applicable aux responsables du traitement et à tous les sous-traitants établis sur le territoire de l’UE.
  • Tous les responsables de traitement (« RT ») et/ou sous-traitant (« ST ») mettant en œuvre  des traitements visant à fournir des biens et services à des citoyens de l’Union Européenne, même gratuitement, à traiter leurs DP ou à suivre leur comportement au sein de l’UE (critère du ciblage).
    Exemple :  SAMSUNG, en Corée du Sud, devra appliquer le RGPD s’il traite des données personnelles (« DP ») de citoyens européens

 

Où ?

  • Champ d’application territorial (art. 3 RGPD) : s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union européenne.
  • Champ d’action extraterritorial : s’applique aux entreprises établies hors de l’UE si elles traitent des données de personnes situées sur le territoire de l’Union Européenne.

Il est principalement à craindre que le nouveau règlement européen ne sanctionne que les organisations et entreprises européennes avec une culture faible de la gestion des risques alors même que le citoyen hyper connecté et sensibilisé à la protection des libertés fondamentales, n’hésite pas à utiliser les voies juridictionnelles directement ou par l’intermédiaire d’associations de consommateurs, de protection de la vie privée, voire de syndicats pour faire plier les opérateurs économiques. Les GAFAM, plus affûtés sur la culture du risque juridique, se sont préparés et ont fait leur mea culpa (Facebook et Apple) et annoncent que la vie privée est un de leurs enjeux essentiels voire leur business model. Au-delà de cette posture que certains moqueront comme les nouveaux Tartuffe, la protection des DP ne doit pas être considérée en Europe comme une mesure ou comme un épouvantail cosmétique mais bien comme une réelle opportunité pour les entreprises de s’approprier la gouvernance des données.

Les dix commandements de la mise en conformité

Le rétro planning de la mise en conformité

Opportunités

Pôle Data Altij

Le DPO étant une fonction transverse, nous avons structuré notre pôle autour d’un ingénieur en informatique rompu à la cybersécurité et formé au RGPD, assisté par une équipe d’avocats dont le domaine d’expertise est les nouvelles technologies.

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, ci après-dénommé RGPD, ou GDPR.
Disponible sur : https://www.cnil.fr/fr/reglement-europeen-protection-donnees

[2] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Consultable sur : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML

[3] « Les renvois du règlement au droit national sont assez divers, rendant complexe une présentation synoptique, indique la CNIL. Le chapitre IX a pour objet d’énumérer des champs d’intervention dans lesquels les Etats membres peuvent préciser ou déroger au règlement : traitements journalistiques, traitements et accès du public aux documents officiels, traitement du NIR, traitements des données au travail, traitement des données à des fins de recherche historique, scientifique ou statistique, obligations de secret. Mais il existe aussi des dispositions disséminées, qui renvoient le soin aux Etats membres de fixer les mesures et garanties appropriées ou de compléter les règles existantes. »
Consultable sur : https://www.cnil.fr/en/node/23472

[4] Il s’agit de l’acronyme des géants du web : Google, Apple, Facebook, Amazon et Microsoft.