Chronique JuriGeek 6

Le Règlement Général sur la Protection des Données adopté le 27 avril 2016 sera applicable à compter du 25 mai 2018.

Êtes-vous prêts ? 

Ce nouveau texte de loi qui va remplacer en France la Loi du 6 janvier 1978 relative à  l’informatique, aux fichiers et aux libertés tente d’apporter des réponses aux mutations technologiques et sociales qui ont explosées ces 20 dernières années.

Si les premiers textes avaient été pensés pour protéger les citoyens d’un état trop inquisiteur (loi 1978) puis les consommateurs des entreprises privées trop rapaces (loi de 1995 puis 2004), le RGPD apporte à présent une réponse globalisée pour protéger les personnes physiques des dérives dans la collecte et l’exploitation de leurs données personnelles.

Inspiré de la notion anglo-saxonne d’accountability (= devoir rendre des comptes), il repose sur l’idée que c’est aux entreprises/administrations/associations (etc..) qu’incombe le devoir de s’auto-réguler et d’être en mesure de justifier de cette auto-régulation à première demande, que ce soit via un contrôle ou parce qu’une personne physique exerce ses droits sur l’exploitation ou la collecte de ses données.

Le but n’est pas d’empêcher la collecte ou l’exploitation des données, mais d’encadrer la pratique pour s’assurer que certaines limites ne sont pas franchies.

Les changements induits par ce texte sont remarquables principalement sur deux points :

• celui qui collecte et exploite des données est automatiquement responsable juridiquement de ce qu’il collecte, de comment il le collecte, de ce qu’il en fait et de comment il le fait (art 4 RGPD).
• peut importe que la collecte et l’exploitation soit effectuée par une entité basée en France, car dès l’instant où le traitement touche les données des citoyens français, le RGPD s’appliquera (art 3 RGPD).

Afin de rendre ce nouveau texte efficace il fallait évidemment mettre en place des sanctions en cas de non-respect. Jusqu’à présent la CNIL avait en effet un impact relativement limité.

Avec l’entrée en vigueur du RGPD, le non-respect des obligations de conformité s’agrémente de sanctions pénales pour le responsable du traitement mais également de sanctions financières pour l’entité : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial d’une entreprise. De quoi motiver les plus réticents à se mettre en conformité avec la loi….

Dès lors deux questions primordiales vont se poser pour les professionnels en amont :

• suis-je concerné par le RGPD ?
• si oui, qui est responsable de quoi ?

Une fois ces questions solutionnées et pour le cas où l’entreprise entre bien dans les critères de soumission au RGPD, viendra alors le temps de la mise en place concrète de la loi, c’est à dire l’obligation de documentation de la conformité.

L’obligation de documenter la conformité : Capacité de démontrer (apporter la preuve) que l’on a mis en oeuvre des mesures juridiques, techniques et organisationnelles pour protéger les données personnelles.

L’entrée en vigueur de la loi va obliger les entreprises à acquérir une expertise dans le domaine ou à faire appel à des experts, car l’obligation qui sera imposée aux professionnelles dépasse la simple mise en place d’outils informatiques ou de processus internes. C’est toute la logique et la finalité du traitement qui sera scruté, ce qui implique également la notion de proportionnalité : la collecte des données est-elle licite et loyale ? ou encore : est-ce que je collecte des données dites « sensibles » ? suis-je soumis à l’obligation de réaliser des études d’impact sur la vie privée ? ai-je besoin d’un délégué à la protection des données ? ….

Vous l’aurez compris, ceux qui auront attendu le 25 mai pour se poser la question vont être sacrément dans la merde !

Pour tous ceux qui comme moi s’intéresse à la question et veulent en savoir plus afin de comprendre l’impact, le pourquoi et le comment de cette nouvelle loi, je vous invite à vous inscrire au MOOC de la CNAM qui se déroule en ce moment sur FUN-MOOC. Très bien fait et documenté vous serez incollable au prochain débat post-apéro !

Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution 4.0 International.