Vidéo : pourquoi modifier la réglementation sur la protection des données ?
En avril 2016, l'Union Européenne s'est accordée sur la mise en place d'un nouveau cadre réglementaire sur la protection des données personnelles en adoptant le Règlement Général sur la Protection des Données (RGPD), dont l'entrée en vigueur est prévue le 25 mai 2018.
Des précédentes initiatives visant à créer un cadre européen
Déjà à la fin des années 70, la France et la Suède avaient adopté des lois générales sur la protection des données personnelles. Ainsi, la Suède fut le premier pays, en 1974, à formaliser cette protection et à créer un Comité en charge de l'application de la loi. Elle sera suivie par la France en 1978 avec la loi "Informatique et Libertés" qui donna naissance à la Commission nationale de l'informatique et des libertés (CNIL), chargée de veiller au respect des principes posés par la loi.
Au niveau européen, c'est en 1995 que les États Membres se mettent d'accord sur un cadre commun en adoptant une directive (95/46) visant à harmoniser leurs approches de la vie privée et des données personnelles. Ainsi, c'est à ce moment que sont posés les grands principes de la protection européenne des données personnelles en adoptant une définition commune de ce qu'est une donnée personnelle, des obligations d'information et des droits garantis aux personnes, des principes de durée proportionnée de conservation des données ou encore des règles de transfert de données hors de l'Union Européenne, afin qu'elles restent sous la protection des principes européens lorsqu'elles sont traitées ailleurs dans le monde.
Une adaptation nécessaire de la réglementation
Les évolutions technologiques ont rendu nécessaire l'adoption d'un nouveau cadre. En effet, l'avènement des smartphones, des réseaux sociaux ou encore l'essor de la géolocalisation, ont entrainé une mondialisation massive des traitements de données, l'explosion du volume des données personnelles traitées, qui deviennent de plus en plus intimes et de plus en plus partagées. Par ailleurs, l'autre objectif principal était de mieux protéger les publics fragiles, notamment les mineurs. Il y avait ainsi des différences entre les pays Européens sur l'âge de la majorité en matière de données personnelles.
Le nouveau règlement européen, le Règlement Général sur la Protection des Données (RGPD, ou "Général Data Protection Regulation" - GDPR) n°2016/679 adopté en avril 2016 après quatre années de négociation, a vocation à remédier à ces divergences d'interprétations entre États membres et établi un cadre unifié et renforcé de la protection des données personnelles, qui met à la charge des entreprises l'obligation de prouver leur conformité à la réglementation, ce qui leur impose de connaître, décrire et surveiller en permanence les traitements de données qu'elles opèrent.
L'application de ces principes au-delà des frontières européennes
Le nouveau règlement européen a pour objectif d'exporter les obligations en matière de protection des données personnelles au monde entier, dès lors qu'elles concernent une personne résidant dans l'Union européenne. Ainsi, en plus de s'appliquer à toute entreprise ou administration dans l'Union Européenne, le RGPD s'applique également à toute entité située en dehors de l'Union Européenne si elle collecte, traite ou conserve des données personnelles de résidents Européens. Par exemple, une société américaine ou chinoise devra respecter les principes du RGPD si elle traite les données d'une personne résidant de manière stable sur le territoire européen. Le champ d'action du nouveau règlement est ainsi bien plus large et crée une véritable extraterritorialité du droit européen en matière de protection des données personnelles, assortie de sanctions qui se veulent extrêmement dissuasives pour les infractions les plus graves : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial consolidé d'un groupe.
Texte d'Etienne Drouard et Alex Salehi