RGPD – un an jusqu’à l’entrée en vigueur

RGPD – un an jusqu’à l’entrée en vigueur

Le 27 avril 2016, le Parlement européen a adopté le règlement général sur la protection des données, mieux connu sous le nom « RGPD ».

Ce règlement remplacera la Directive 95/46/CE, maintenant dépassée, relative au traitement des données à caractère personnel. Contrairement à la Directive, ce règlement aura un effet direct, en principe sans avoir besoin de le transposer en droit national.  De cette façon, le parlement européen tente d’uniformiser la législation relative à la protection des données. 

Le RGPD entrera en vigueur le 25 mai 2018, soit exactement dans un an.  Cela paraît long, mais ne vous trompez pas, la plupart des entreprises auront besoin de ce temps pour mettre leur politique de protection des données en conformité avec ces nouvelles règles. 

Le RGPD conservera dans une certaine mesure les principes de base de la directive, mais innove tout de même dans certains domaines.  Dans ce premier bulletin d’information, nous expliquerons les lignes directrices du RGPD.  Dans des bulletins suivants, nous examinerons de plus près plusieurs sujets spécifiques.

Champ d’application territorial plus large

Le champ d’application matériel restera inchangé à l’égard de la Directive 95/46/CE. 

Quant au champ d’application territorial, il sera élargi.  Non seulement les responsables du traitement ayant un établissement dans un Etat membre seront obligés de respecter les règles du RGPD, mais elles s’appliqueront également aux responsables du traitement établis en dehors de l’Union Européenne.  Le RGPD s’appliquera au traitement de données à caractère personnel dans l’Union Européenne soit si les opérations de traitement concernent l’offre de biens ou de services aux intéressés soit si les opérations concernent l’observation du comportement des intéressés, si ces comportements ont lieu au sein de l’Union Européenne.

Responsabilité (“accountability”) 

Une des grandes nouveautés que le RGPD comporte, est la responsabilité de la personne en charge du traitement. Suivant le RGPD, ce responsable porte une des responsabilités les plus importantes du traitement des données. Il est activement responsable pour réaliser le traitement des données conformément au RGPD.  Celui-ci est également dans l’obligation de démontrer cette conformité.

Consentement renforcé

Le traitement de données à caractère personnel est licite quand la personne concernée donne son consentement.  Les conditions de ce consentement sont plus strictes dans le RGPD que dans la Directive 95/46/CE. Il doit s’agir d’un consentement qui se manifeste de façon libre, spécifique, éclairée et univoque.  Un consentement implicite n’est plus permis, un acte positif clair est requis. 

Droits des personnes concernées

En comparaison avec la Directive 95/46/CE, le RGPD renforce les droits des personnes concernées et introduit de nouveaux droits,  entre autres : le droit de recevoir des informations sur le traitement des données dont la personne concernée fait l’objet, le droit d’accès aux données traitées, le droit de faire rectifier des données incorrectes et le droit à une copie des données à caractère personnel traitées. 

De plus, le droit à la portabilité des données est prévu.  Ce droit devrait faire en sorte qu’il soit plus facile pour une personne de transmettre ses données à un autre prestataire de services, par exemple. 

Le droit qui attire l’attention est le droit à l’oubli.  Ce nouveau droit trouve son origine dans le fameux arrêt Google rendu par la Cour de Justice.  Sur base de ce droit, une  personne physique peut, sous certaines conditions, demander au responsable du traitement d’effacer ses données à caractère personnel sans délai.  

Mécanisme de guichet unique

Le mécanisme de guichet unique est une autre nouveauté.  A partir de l’entrée en vigueur du RGPD, le responsable du traitement actif dans plusieurs Etats membres européens ne devra plus communiquer avec des autorités de surveillance différentes, mais uniquement avec l’autorité de surveillance dirigeante. Il s’agira donc de l’autorité de l’Etat membre où le responsable du traitement détient son établissement principal, selon le RGPD l’endroit où se trouve l’administration centrale. 

Selon toute probabilité, la commission de protection de la vie privée aura le rôle d’autorité de surveillance, mais il faut attendre les textes réglementaires. 

Protection des traitements et violations des données

Le RGPD prête beaucoup d’attention à la protection du traitement.  Cela s’avère nécessaire puisque, en raison des développements technologiques, des données à caractère personnel sont souvent enregistrées sur un cloud et sont alors très susceptibles d’être dérobées (par ex. piratage).

Par conséquent, le responsable du traitement est tenu de prendre les mesures nécessaires sur les plans tant de l’organisation que technique, afin de garantir un niveau de protection adapté aux risques.  Ces mesures de protection peuvent, par exemple, être la pseudonymisation et le cryptage.  Dans certains cas, une « analyse d’impact » sera obligatoire.

Communication d’une violation

Dans certains cas, le RGPD oblige le responsable du traitement à communiquer une violation concernant les données à caractère personnel auprès de l’autorité de contrôle dans les 72 heures après la prise de connaissance de la violation.  Si cette violation ne contient pas de risque pour les droits et libertés des personnes physiques, cette obligation de communication ne s’applique pas.  Quand ces violations comportent un risque très élevé pour les droits et libertés des personnes physiques, elles doivent toutefois en être informées elles-mêmes.

Registre des activités de traitement

Une modification applaudie est la révocation de l’obligation pour les responsables du traitement de rapporter les traitements automatisés de données auprès de la Commission vie privée.  La législation belge devra être modifiée dans ce sens. 

A partir du 25 mai 2018, les hauts responsables du traitement et les responsables du traitement traitant systématiquement les données à caractère personnel, notamment, devront tenir un registre écrit ou électronique de toutes les activités de traitement.  L’autorité de contrôle pourra réclamer ce registre à tout moment afin de surveiller les activités de traitement. 

Transferts à des pays tiers et règles d’entreprise contraignantes  

En principe, le RGPD interdit les transferts de données en dehors de l’Union Européenne.   Ces transferts sont toutefois permis si une décision d’adéquation et/ou un niveau de protection adapté sont prévus, ou si une dérogation s’applique.  La Commission Européenne a reconnu un nombre de pays et de régions offrant un niveau de protection adapté (par ex. la Suisse, le Canada, les Etats-Unis) par une décision d’adéquation, ce qui fait qu’un responsable du traitement transmettant des données vers ces pays ou régions ne doit pas prendre de mesures supplémentaires.  Si une région ou un pays n’a pas obtenu une telle reconnaissance, le responsable du traitement est obligé de prévoir des garanties supplémentaires.

Une première possibilité offerte par le RGPD est de prévoir des règles d’entreprise contraignantes. Ces codes de conduite internes sont un instrument utile pour les multinationales voulant lancer des flux de données au sein de leur groupe. Ces règles d’entreprise voient doivent être approuvées par l’autorité de contrôle. 

Une autre possibilité prévue dans le RGPD est le rattachement à un code de conduite ou un mécanisme de certification approuvé. Des clauses contractuelles concernant la protection de données peuvent suffire si elles sont établies par la Commission Européenne ou par une autorité de contrôle. Une déviation pour une situation spécifique s’applique lorsque la personne en question a donné la permission explicite pour la transmission à un pays en dehors de l’UE.

Amendes

L’autorité de contrôle aura la compétence d’imposer des amendes administratives pour des infractions au RGPD. Ces amendes administratives doivent être efficaces, proportionnelles et dissuadantes.  En imposant une amende, l’autorité de contrôle tient compte de circonstances atténuantes ou aggravantes (par ex. des infractions précédentes, négligence volontaire).

Les montants maximum sont très élevés.

Pour certaines infractions, l’amende peut se monter jusqu’à 10 millions d’euros, ou dans le cas d’une entreprise, de 2% du chiffre d’affaires total mondial dans l’exercice précédent si ce montant est plus élevé.   Cela est par exemple le cas si un registre d’activités de traitement n’a pas été tenu à jour ou en cas de non-désignation d’un fonctionnaire pour la protection de données (sujet à traiter dans un bulletin ultérieur).

La grande majorité des infractions au RGPD peuvent être sanctionnées par une amende pouvant aller jusqu’à 20 millions d’euros, ou dans le cas d’une entreprise, de 4% du chiffre d’affaires total mondial dans l’exercice précédent si ce montant est plus élevé.    Cela est par exemple le cas pour la transmission non-protégée de données à caractère personnel à des pays tiers ou pour le traitement de données à caractère personnel sans qu’un fondement juridique à cet effet n’existe.

Plus d’informations concernant le RGPD suivront dans d’autres bulletins d’information.

Pour plus d’informations concernant ce sujet spécifique, veuillez contacter les auteurs, Dave Mertens, Sara Cockx et Sébastien van Damme.