Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Règlement européen sur la protection des données personnelles : un texte unique… mais non isolé

Twitter Facebook Linkedin Google + Email
×

Le numérique ne bouleverse pas que les business models. Pour le prendre en compte, les règles et les lois sont elles aussi en pleine mutation. Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour nous fournir des clés pour déchiffrer les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Aujourd’hui, regard sur le réglement européen pour la protection des données personnelles.

Règlement européen sur la protection des données personnelles : un texte unique… mais non isolé
Règlement européen sur la protection des données personnelles : un texte unique… mais non isolé © r2hox / Flickr

Un texte unique pour harmoniser les règles de protection au sein de l’UE

On a donc bien compris que le Règlement européen sur la protection des données personnelles finalement publié en date du 27 avril 2016 comptabilise déjà pas mal de records : plus de 4 années d’âpres négociations, quelques 3999 amendements entre la version initiale de 2012 et celle du Parlement européen de 2014 …, comprenant 173 considérants (pour expliciter les articles) et 98 articles .

 

Mais son principal record sera effectivement de permettre l’harmonisation des règles pour la protection des données personnelles au sein de l’Union européenne  puisqu’on passe donc à un texte unique d’application directe et uniforme en lieu et place des règlementations nationales actuellement en vigueur au sein des 28 Etats membres.

 

Attention : la règlementation va donc changer (adieu la loi « Informatique et Libertés ») dans deux ans à compter la publication du texte du Règlement européen au journal officiel (probablement courant mai 2016) …. le compte à rebours est imminent.

 

Un texte unique aux multiples avantages annoncés

Outre l’harmonisation législative (garantie d’une plus grande sécurité du marché unique européen), les autres avantages mis en exergue par les Institutions européennes ont trait à la modernisation des principes de protection permettant de prendre en compte l’ère numérique (soit plus de 20 ans d’évolutions technologiques…), à la simplification des règles (à vérifier à l’usage …) et à l’instauration d’une concurrence plus loyale (via l’extension du champ d’application du règlement aux entreprises réalisant des traitements des données personnelles de personnes situées dans l’UE).

 

Cela étant, l’angélisme n’est pas forcément de mise car ces nouvelles dispositions vont engendrer pour beaucoup d’entreprises des coûts liés aux investissements nécessaires à l’adaptation de leurs outils ou procédures actuels à des fins de conformité avec la nouvelle réglementation.

 

Un texte unique porteur de promesses mais aussi de limites

De fait, tous les acteurs concernés du secteur public et du secteur privé entendent bien trouver des réponses plus adaptées à leurs actuelles problématiques de Big data, de Cloud computing, de sécurisation des flux transfrontières de données...

 

Autant de questions à mettre en parallèle avec le fait que le Règlement prévoit l’exercice du principe de protection des données personnelles sous toutes ses facettes, telles la protection en amont (avec le principe du privacy by design), la protection analysée (analyse d’impact), la protection documentée (documentation obligatoire en tant que preuve de la conformité légale), la protection en chaîne (responsabilité du sous-traitant et possibilité de coresponsabilité), la protection renforcée (droits des personnes). Bref, la mise en œuvre du principe d’accountability !

 

Sur le renforcement des droits des personnes, dont on rappellera qu’il a servi de fondement à la révision du cadre réglementaire, le consentement doit retenir toute l’attention car, chaque fois qu’il est nécessaire pour un traitement de données, outre le fait qu’il ne soit jamais implicite ou général, il doit pouvoir être prouvé (donc documenté et tracé) par le responsable de traitement. Que dire des perspectives du Big data ? En attendant, il est conseillé de revoir dès maintenant les clauses contractuelles actuelles portant sur l’information et le consentement préalables des clients.

Plus de onze droits sont désormais reconnus à la personne au lieu des trois actuels droits « Informatique et Libertés » (opposition au traitement sous réserve de motif légitime, accès/communication et rectification/suppression des données).

 

C’est-à-dire onze risques de sanction pécuniaire pouvant aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise en cas de violation des obligations prescrites … .

 

Une liste à la Prévert parait ici très adaptée pour prendre en compte les nouveautés : le droit à une information complète sur le traitement des données, exprimée de façon claire et simple quel qu’en soit le support, le droit d’être informé en cas de violation de ses données personnelles, le droit à l’effacement ou « droit à l’oubli », le droit à la limitation du traitement (notamment afin de permettre à la personne concernée de faire valoir ses droits en justice), le droit à la portabilité des données (en cas de changement de fournisseur de services notamment)… et, bien sûr, le droit d’opposition (notamment pour encadrer le profilage).

 

Cela étant, si on peut effectivement reconnaître que la confiance dans le marché unique du numérique passe par le renforcement du rôle conféré aux citoyens européens sur leurs données (contrôle de leur utilisation, de leur transmission, de leur partage,…), rien n’empêche également d’espérer de la part de certains d’entre eux plus de prudence (oserait-on dire de responsabilité ?) quant à l’étalage de l’intimité de leur vie privée (et non, je ne pense pas qu’à Facebook !).

 

Un texte unique mais non isolé

Effectivement, l’ère de l’actualisation des textes a sonné et, au vu de la production législative actuelle, de ces changements tout azimut : doit-on craindre un imbroglio de textes ?

 

De fait, le contexte international bouge et la vague de modernisation va également impacter profondément la Convention 108, première Convention internationale pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du Conseil de l'Europe de 1981. On l’aura compris la cohérence des dispositions nouvelles avec celles du RGPD est une nécessité, ce qui soulève encore des réserves (pour la notion de consentement par exemple). 

 

Au niveau européen, la refonte du cadre général de la protection des données personnelles via le Règlement européen va de pair avec la modification la directive « vie privée et communications électroniques » qui, spécifique à ce secteur mais qui est aussi quelque peu dépassée (derniers changements en 2009). La Commission européenne a donc lancé une consultation publique, ouverte du 12/04 au 05/07/2016, sur l’évaluation et la révision de cette directive. Concrètement, la consultation est réalisée via un questionnaire sur le site de la Commission. Notre conseil en la matière est : participer c’est gagner !

 

Il faudra rester vigilant car le RGPD s’inscrit dans un ensemble plus vaste de textes visant à règlementer l’ère du numérique dont le Règlement Eidas sur l’identification et les services de confiance du 23 juillet 2014. On trouvera donc des références par ci, par là …

 

Au niveau local enfin, le projet de loi pour la République numérique, en cours d’examen, interroge aussi sur sa cohérence avec le Règlement européen (notamment la limitation de la sanction pécuniaire à 1,5 million d’euros, ou les notions de « portabilité »/« récupération » des données en ligne).

Alors, même si on peut parfois cautionner le fameux "abondance de biens ne nuit pas", notre conseil ici serait de se prémunir contre toute indigestion et donc de consommer le mille-feuilles juridiques petit bout par petit bout.

 

Isabelle Cantero, Avocat, spécialisée en "Vie privée et protection des données personnelles"

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

2 commentaires

Rasle Bruno
09/05/2016 07h08 - Rasle Bruno

Bonjour Isabelle, Pour ma part je parie sur le fait que la loi Informatique et Libertés va perdurer... au moins d'un point de vue sémantique. Son contenu avait déjà été fortement modifié en 2004, il va l'être encore d'ici 2018 (et toute l'Europe nous envie le si beau nom de cette loi). Des travaux de légistique ont déjà commencé en ce sens, et les débats au Sénat lors de l'examen de l'amendement n° 587, présenté par le Gouvernement, le confirment. Le Gouvernement souhaitait être autorisé à prendre par voie d'ordonnance les mesures relevant du domaine de la loi nécessaires à la mise en conformité de la législation française au règlement général sur la protection des données, ainsi que les éventuelles mesures d'adaptation nécessaires pour l’application de ce règlement. http://www.senat.fr/seances/s201604/s20160429/s20160429013.html#amd_2015_535_587 Madame Lemaire l'a ainsi défendu : "La mise en conformité et l’adaptation du droit national soulèvent des questions techniques. Tous les sujets identifiés par le Gouvernement comme relevant de choix liés à l’intérêt général, de choix politiques, ont été inscrits dans le projet de loi pour une République numérique. Cependant, le travail d’adaptation de la loi Informatique et libertés au contenu du règlement européen sera très technique et assez fastidieux. C’est pourquoi, à travers le présent amendement, le Gouvernement demande au Sénat une habilitation législative pour prendre par voie d’ordonnance les dispositions permettant de finaliser la mise en conformité de la législation française avec le règlement européen." M. Christophe-André Frassa, rapporteur, s'y est opposé (et a été suivi - l'amendement a été repoussé) : "Le Gouvernement souhaite être habilité à procéder à la mise en conformité du droit français avec le règlement européen sur la protection des données personnelles. Il sera effectivement nécessaire d’adapter notre législation au futur règlement européen qui entrera en vigueur, au mieux, courant 2018. Toutefois, cette adaptation ne pourra se limiter à un simple toilettage : il faudra certainement revoir toute la loi Informatique et libertés. Le chantier étant plus vaste qu’il n’y paraît, il est préférable de demander au Gouvernement de préparer un projet de loi sur le sujet, ce qui lui permettra d’être beaucoup plus ambitieux." Tout cela passera donc par les chambres - il faudra aussi mettre dans la loi Informatique et Libertés nouvelle version certaines dispositions qui ne sont pas reprises dans le règlement ainsi que celles issues du projet de loi pour une République numérique... ce qui met à mal l’homogénéité qui était l'une des promesses du règlement (ces dernières dispositions ne s'imposant seulement qu'à certains responsables de traitement). Il est également probable que l’appellation de l'autorité de contrôle (CNIL) perdure également, ainsi que l’appellation "Correspondant Informatique et Libertés", l'acronyme DPO ne résistant pas à la loi Toubon (voir "Sauvons le CIL ! http://www.afcdp.net/Sauvons-le-CIL). Cordialement. Bruno Rasle - Délégué général - delegue.general@afcdp.net - Tel. 06 1234 0884 - www.afcdp.net

Répondre au commentaire | Signaler un abus

SALARD
06/05/2016 16h17 - SALARD

Bonjour, Le RGPD a déjà été publié au JO UE le 4 mai 2016, il entrera en vigueur 20 jours après - soit le 24 mai 2016 -, avec un délai de 2 ans - soit le 24 mai 2018.

Répondre au commentaire | Signaler un abus

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale