Vous avez deux ans pour vous conformer à la nouvelle législation "Informatique & Libertés"

Le 14 avril dernier, le Parlement européen a adopté le "Règlement Général sur la Protection des Données", texte en discussion depuis 2012. En attendant son applicabilité, qui interviendra au plus tard sous deux ans, les entreprises doivent se préparer à la réforme.

Si le texte entrera en vigueur à la fin du mois de mai 2016, il n'est pas immédiatement exécutoire. Il prévoit en effet qu'il ne sera applicable que dans deux ans, à moins qu'un texte de "transposition" n'intervienne entre-temps au niveau national, ce qui est fort probable, même si le calendrier parlementaire des deux ans à venir risque d'être assez encombré, surtout en cas de changement de majorité parlementaire en 2017.

Pourquoi un tel délai ? Parce que le règlement vient remplacer les dispositions existantes de la Loi Informatique & Libertés (issues notamment de la Directive de 1995) et que les pratiques vont devoir s'adapter au nouveau texte. 

Voulu comme un texte de modernisation du droit des données à caractère personnel, qui avait effectivement besoin d'un toilettage pour tenir compte du développement d'internet, des réseaux sociaux, des objets connectés... il vise à renforcer les droits des personnes, tout en assouplissant les formalités pour les entreprises.

Les droits des personnes sont en effet affermis, comme le droit à l'information, qui sera plus détaillé, le droit d'opposition, qui sera étendu... tandis que de nouveaux droits apparaissent, comme le droit à la portabilité des données, qui vise à permettre aux consommateurs de transférer leurs données d'un prestataire à un autre (ce qui suscitera probablement des difficultés de mise en oeuvre), ou encore le fameux "droit à l'oubli", expressément consacré sous la forme d'un "droit à l'effacement des données".

Par ailleurs, le texte prévoit, dans certains cas, l'obligation pour les responsables de traitement de désigner un délégué à la protection des données, qui devra s'assurer de la conformité de l'entreprise aux obligations qui sont les siennes en vertu du nouveau règlement. De même, on notera que les sanctions financières en cas de violation du dispositif ont été singulièrement alourdies, puisqu'elles porteront jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel et mondial. On est loin des 150 000 euros qui peuvent actuellement être prononcés par la CNIL

Enfin, les consommateurs seront rassurés par le fait que le règlement s'appliquera à tout traitement, même situé hors de l'Union européenne, dès lors qu'il concerne des données de personnes européennes. 

Quelles sont alors les mesures en faveur des entreprises ? On notera en priorité la suppression de l'obligation de déclaration préalable des traitements. Il ne sera en effet plus nécessaire de déclarer un traitement à la CNIL, ce qui signifie que la "corvée paperassière" souvent mal vécue (notamment par les start-up) est enfin finie. Mais, en contrepartie, les responsables de traitement sont davantage responsabilisés, selon un principe d'"accountability". Cela signifie qu'il appartiendra aux entreprises d'évaluer elles-mêmes les risques des traitements de données qu'elles mettent en oeuvre et qu'elles devront donc définir et superviser les mesures de sécurité qu'elles décideront de mettre en place. 

Les entreprises verront également un intérêt à la création d'un marché unique des données, ce qui constitue la conséquence du choix du règlement par rapport à la directive. Le règlement n'a normalement pas besoin de loi de transposition. La marge de manoeuvre des différents États membres est très faible. Ceci signifie qu'à court terme, le droit des données à caractère personnel sera identique en France, en Allemagne, en Italie... dans l'ensemble de l'Union européenne.

On peut également s'attendre à ce que les doctrines des différentes autorités nationales soient désormais harmonisées sous l'égide du nouveau Comité Européen à la Protection des Données, qui vient remplacer le Groupe de l'Article 29. 

Sur le même plan, le règlement pose le principe d'un guichet unique, qui va permettre aux entreprises multinationales de ne plus dépendre que d'une seule autorité nationale. Le changement est ici radical, notamment pour les sociétés du web qui ne connaissent pas de frontières. 

Le nouveau règlement, particulièrement touffu et complexe (il comporte 99 articles), va nécessiter un important travail d'analyse afin d'en mesurer la portée réelle et pratique. Deux ans ne seront donc pas de trop pour déterminer les nouvelles obligations des entreprises en la matière. Il faut s'y préparer dès maintenant !

Réseaux sociaux / Cnil