Règlement Européen de protection des données personnelles : le compte à rebours a commencé

Le règlement général sur la protection des données sera applicable à partir du 25 mai 2018 dans tous les pays de l’Union européenne. Pour les entreprises, le compte à rebours a commencé.

L’adoption le 14 avril 2016 du règlement général sur la protection des données par le Parlement européen est l’aboutissement du projet de règlement publié le 25 janvier 2012 par la Commission européenne.

Ce règlement sera applicable à partir du 25 mai 2018 dans tous les pays membres de l’Union européenne. Pour les entreprises, le compte à rebours a commencé. Une prise de conscience à la hauteur de l’importance que représente le sujet de la protection des données personnelles parait aujourd’hui inévitable.

Il conviendra d’être en mesure de faire face au nouveau cadre juridique européen introduit par le règlement avant la date d’application.

Le règlement fait du Correspondant Informatique et Libertés une pierre angulaire de la problématique. Ce dernier devra accompagner l'entreprise qu'il l’a désigné à appréhender de nouveaux principes dont les principaux sont présentés ci-dessous :

La protection des données dès la conception (Privacy by Design) recommande d'intégrer à toute technologie exploitant des données à caractère personnel des dispositifs techniques de protection de la vie privée dès sa conception et des mesures organisationnelles permettant d’anticiper en amont des projets informatiques, la problématique de protection des données personnelles.

Le principe d'accountability impose aux entreprises d’être en mesure de justifier l’ensemble des dispositifs de contrôle et d’encadrement mis en place pour assurer la conformité Informatique et Libertés au sein de l’organisme. La notification obligera les entreprises à notifier toute violation de données à caractère personnel aux autorités de contrôle mais également aux personnes concernées par ladite violation.

Privacy Impact Assessments traduit par la Les Privacy Impact Assessements traduit par la CNIL en "études d'impacts sur la vie privée", devront être réalisées sur l'ensemble des traitements considérés comme sensibles par le Correspondant Informatique et Libertés, le futur "Data Protection Officer".

Les prestataires et les éditeurs de logiciel ne seront pas épargnés, en effet le règlement introduit un principe de coresponsabilité, ils pourront donc être amenés à réaliser directement les études d’impacts nécessaires à la mise en place de leurs solutions et seront, par la même occasion, responsable de la sécurité des données de leurs clients.

Ce nouveau règlement devrait être considéré par chaque entreprise comme une opportunité d’optimiser sa sécurité juridique. Il ne doit pas se traduire comme une contrainte réglementaire de plus, mais comme un cadre permettant d’affronter la transformation numérique en respectant le droit à la vie privée des clients.

Présenté jusqu’à maintenant par beaucoup comme un avantage concurrentiel, la protection des données personnelles sera sans aucun doute un facteur de confiance dont les entreprises ne pourront plus se dispenser. 

Il est maintenant urgent pour chaque entreprise d'effectuer un bilan de sa situation déclarative et de compléter sa politique de protection des données à caractère personnel. De manière globale, il s’agit d’anticiper le nouveau cadre juridique introduit par le règlement et de se placer en position d’ « adequacy » (l’adéquation de la « privacy »).