Règlement européen pour la protection des données personnelles (RGPD), directive sur la protection des données dans la sphère pénale, et projet de loi relatif à la protection des données personnelles ; cette année 2018 va marquer un tournant en la matière. Retour sur les modifications à venir qui nécessiteront une mise en conformité des entreprises.

Cadre légal et évolutions à venir

85 % des français se disent préoccupés par la protection de leurs données personnelles. Ce constat couplé aux nouvelles réalités du numérique ont conduit les institutions européennes à se pencher sur un « paquet européen de protection des données ». Composé d’un règlement et d’une directive, ce paquet européen, intervient dans la sphère civile et pénale. Seul sera détaillé dans cet article le volet civil, c’est-à-dire le RGPD et sa transposition en droit français. En effet, un projet de loi adaptant la loi « informatique et libertés » du 6 janvier 1978,  qui célèbre ses 40 ans, a été soumis au Parlement, afin de s’adapter au nouveau règlement de protection des données personnelles.

Ce règlement, qui entre en vigueur le 25 mai 2018, vient conforter les droits des personnes physiques en matière de données à caractère personnel et en créer de nouveaux comme le droit à l’oubli, à la portabilité des données  ou encore le droit à l’effacement. Il vient également uniformiser et contrôler les règles s’appliquant aux organismes traitant des données. Cela a pour conséquence de renforcer les pouvoirs de contrôle et de sanctions de la CNIL.

Que faut-il retenir du RGPD ?

• Concernant son champ d’application: matériellement sont concernées les données à caractère personnel, automatisées en tout ou en partie, et les traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier. Territorialement est concerné le traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. En pratique, cela signifie que le règlement s’appliquera dès qu’un résident européen sera visé par un traitement de données.

• Concernant les droits des personnes physiques: par ce règlement sont renforcés les droits des personnes concernées par la protection des données. Il impose que les données soient traitées de manière licite, loyale et transparente à des fins déterminées, explicitées et légitimées. L’expression du consentement est renforcée. En effet, les utilisateurs doivent être informés de l’usage qui sera fait de leurs données, donner leur accord pour le traitement des données, ou pouvoir s’y opposer. De nouveaux droits apparaissent dont le droit à la portabilité des données (qui permet à une personne de récupérer les données fournies sous une forme réutilisable), le droit à l’oubli, le droit à l’effacement des données et le droit à la réparation des dommages matériel ou moral.

• Concernant la responsabilisation des acteurs: le RGPD renforce la responsabilité des acteurs. Ainsi, les responsables de traitements devront mettre en œuvre toutes les mesures techniques et organisationnelles afin de renforcer la protection des données. Cela ce couple avec un allégement des formalités administratives.  La responsabilisation des acteurs passe également par les sanctions encourues, qui sont renforcées. Il convient d’ajouter qu’une action de groupe peut être exercée en cas de manquement d’une entreprise aux obligations posées en matière de données personnelles.