image003Dépassée par la fulgurance des récentes avancées technologiques, l’actuelle législation[1] en matière de protection des données à caractère personnel n’est plus à même de garantir un niveau de protection adéquat pour les citoyens européens. Sur base de ce constat, l’Union Européenne a adopté fin mai 2016 le nouveau Règlement Général sur la Protection des Données[2] (ci-après « RGPD ») dont l’entrée en vigueur est fixée au 28 mai 2018.

 

Conformément au plan d’action de la Commission européenne pour un « Digital Single Market », le RGPD a vocation à restaurer la confiance des consommateurs et des citoyens en l’économie numérique par le renforcement de leurs droits et du contrôle que ceux-ci ont de leurs données personnelles. A ce titre, citons quelques nouveautés phares du projet au profit des consommateurs telles que le renforcement de l’obligation d’information, l’introduction de nouveaux droits (droit à l’effacement, droit d’accès à ses données, droit à la portabilité des données,…etc), le renforcement de l’exigence de consentement, l’introduction de voies de recours effectives sanctionnées par des amendes dissuasives,… etc.

 

Si les citoyens européens peuvent se réjouir de l’adoption de la nouvelle législation, qu’en est-il des entreprises ?

 

Le corollaire du renforcement des droits des citoyens européens quant à la protection de leurs données personnelles est logiquement l’accroissement des obligations pesant sur les entreprises responsables du traitement de ces données. A ce titre, le RGPD constitue une petite révolution et la période transitoire de 2 ans jusqu’au 28 mai 2018 ne sera pas de trop en vue de permettre aux entreprises de se conformer à la nouvelle législation.

 

A titre liminaire, notons que les nouvelles contraintes instituées par le RGPD pèsent potentiellement sur toutes les entreprises. En effet, la notion de « traitement de données à caractère personnel » est très largement définie de sorte que la simple collecte de toute information permettant d’identifier directement ou indirectement une personne physique est suffisante à voir le RGPD et ses obligations applicables.

 

L’ensemble des nouvelles obligations instituées par le RGPD à charge des entreprises repose sur deux principes sous-jacents fondamentaux :

  • Le premier principe, « Privacy by Design » (PbD)[3], signifie que le respect des données personnelles doit devenir la règle et non plus l’exception. La protection des données doit, par défaut, être assurée par les responsables du traitement grâce à l’implémentation de mesures organisationnelles et techniques adaptées aux finalités du traitement (ex : pseudonymisation, limitation de la quantité de données personnelles collectées, de l’étendue du traitement, de la durée de conservation, de leur accessibilité, … etc).

 

  • Le second principe essentiel est celui de l’« Accountability »[4]. Sur cette base et à la différence de ce qu’elles sont tenues de faire aujourd’hui, les entreprises ne devront plus déclarer le traitement des données aux différentes autorités de contrôle nationales. A l’avenir, les responsables de traitement ainsi que leurs sous-traitants seront tenus  de conserver un registre des traitements de données effectués et être en mesure de prouver à tout moment le respect des obligations imposées par le RGPD.

 

Quels sont à proprement parler les principales dispositions et les défis posés par le RGPD aux entreprises ?

 

Une application extraterritoriale – Un responsable de traitement ou un sous-traitant établi hors de l’UE sera également soumis aux obligations du RGPD dès lors que ses activités sont dirigées vers des citoyens européens.

 

Une responsabilité conjointe des responsables de traitement et des sous-traitants –  Le prestataire de services sous-traitant des données personnelles pour le compte d’une entreprise (responsable du traitement) se doit également de respecter les obligations du RGPD au risque de voir sa responsabilité conjointement engagée avec celle du responsable de traitement.

 

Le renforcement de l’obligation d’information et de consentement – Le responsable de traitement sera désormais tenu de fournir une information concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, à toute personne dont les données personnelles sont traitées. Au surplus, les entreprises devront également informer les personnes concernées de l’existence de leurs droits, notamment celui d’introduire une plainte auprès de l’autorité de contrôle, mais aussi des détails d’un éventuel transfert des données hors de l’UE ainsi que les coordonnées du délégué à la protection des données. Conformément aux principes généraux de « Privacy by Design » and « Accountability », les entreprises devront être en mesure de prouver un consentement explicite des utilisateurs et ce pour chaque opération de traitement.

 

L’obligation d’effectuer une analyse d’impact relative à la protection des données – En cas de recours à une nouvelle technologie présentant un risque pour la vie privée, en cas de profilage ou de traitement à grande échelle, le responsable de traitement sera tenu d’effectuer préalablement une analyse de l’impact des opérations de traitement envisagées quant à la protection de la vie privée, et ce en vue d’adopter des mesures de protection appropriées en conformité avec le RGPD.

 

L’obligation de notification des fuites de données –Responsable de traitement et sous-traitant auront désormais l’obligation de notifier dans un délai de 72h à l’autorité de contrôle toute violation de données à caractère personnelle. La notification devra également être adressée à toute personne concernée par la fuite des données personnelles lorsqu’il existe un risque élevé pour les droits et libertés de celle-ci.

 

La désignation d’un délégué à la protection des données – Certains acteurs à risques (organismes publiques ou entreprises traitant systématiquement ou à grande échelle des données personnelles) auront désormais l’obligation de désigner un délégué à la protection des données. La mission générale du délégué sera d’être associé à toutes les décisions relatives à la protection des données, notamment en (i) garantissant l’implémentation des obligations du RGPD, (ii) dispensant des conseils à cet égard ainsi qu’en (iii) assurant une mission de coordination avec l’autorité de contrôle (Contrôleur Européen de la Protection des Données – CEPD).

 

L’obligation de tenir un registre des traitements – Chaque entreprise ou sous-traitant responsable du traitement de données personnelles est tenu de conserver un registre de l’ensemble des opérations de traitement effectuées. Sauf si le traitement comporte un risque accru pour les droits des personnes concernées, les entreprises de moins de 250 employés ne sont pas tenues de respecter l’obligation précitée.

 

Des nouvelles règles quant aux transferts de données hors UE – A l’avenir, les données personnelles des citoyens européens ne pourront être transférées vers un pays tiers que si celui-ci, garant d’un niveau de protection adéquat des données, a reçu l’agrément de la Commission Européenne.

 

Code de conduite et procédure de certification – Le RGPD encourage explicitement la création de codes de conduite, labels et autres certifications destinés à garantir le respect des obligations relatives à la protection des données personnelles.

 

Pour s’assurer du respect de ses prescrits, le RGPD a su trouver les mots justes pour toucher au cœur les entreprises ciblées. La solution ? Faire peser une épée de Damoclès au-dessus du portefeuille des responsables de traitement qui pourront se voir condamner à payer jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaire mondial au seul titre d’amende administrative en cas de non-respect des obligations essentielles du RGPD. Mais au-delà du risque de la sanction financière, c’est également la réputation de l’entreprise responsable du traitement qui est en jeu. En effet, le responsable de traitement condamné pour violation d’une législation censée restaurer la confiance des consommateurs dans l’économie digitale se retrouverait alors pointé du doigt par ces derniers qui n’hésiteraient certainement pas à se tourner vers d’autres acteurs d’avantage concernés par le respect de leurs données personnelles.

 

Enfin, si l’adoption du RGPD imposera indubitablement de nombreuses nouvelles obligations aux responsables de traitement, il ne faut toutefois pas éluder les bénéfices que ces derniers devraient également percevoir. Tout d’abord, les 28 législations nationales relatives à la protection des données ainsi que les 28 autorités nationales de contrôle seront remplacées par un cadre légal et un interlocuteur unique de niveau européen (Contrôleur Européen de la Protection des Données – CEPD). Ainsi, la réduction des coûts et des formalités administratives devrait engendrer une économie annuelle de 130 millions d’euros pour les entreprises. En outre, le droit à la portabilité des données personnelles permettant aux consommateurs de transférer plus aisément leurs données d’un prestataire vers un autre devrait également dynamiser la concurrence et permettre de faciliter l’accès au marché pour les start-ups. Finalement, le RGPD a surtout veillé à ne pas imposer une charge administrative ou financière trop importante aux PME car il est évident que le respect des obligations du RGPD aura un coup qui pourrait se révéler important. Rappelons à titre d’illustration que la majorité des PME ne devraient pas avoir à désigner de délégué à la protection des données ni à tenir un registre des traitements.

Si l’implémentation du RGPD représentera déjà une charge de travail conséquente pour les entreprises en conformité avec la législation actuelle, la tâche deviendra quant à elle titanesque pour les entreprises qui se verront appliquées la législation européenne en matière de protection des données pour la première fois, ou qui négligeaient celle-ci jusqu’à présent en raison des faibles sanctions. A ce titre, la période transitoire de 2 ans étant déjà bien entamée, il est encore plus important que jamais pour chaque entreprise de (i) faire un bilan complet de ses activités en vue d’identifier celles qui seront susceptibles d’être sanctionnées par la nouvelle réglementation, (ii) d’évaluer la conformité de ses sous-traitants au RGPD en raison de la future responsabilité conjointe et (iii) d’adopter les mesures opportunes en vue d’être en conformité avec le RGPD à la date de son entrée en vigueur le 28 mai 2018.

MARTIN AVOCATS
Luxembourg, le 06/12/2016


[1] Directive 95/46/CE transposée en droit luxembourgeois par la loi du 2 août 2002 relative à la protection des personnes.

[2] Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

[3] Article 25 du RGPD.

[4] Article 5.2 et chapitre IV du RGPD.