Dans un mois tout juste, le Règlement Général de Protection des Donnés (RGPD) fera son entrée en vigueur. N’avez-vous par ailleurs pas remarqué les nouvelles conditions générales d’Apple, Google, Instagram ou encore Uber concernant le traitement de vos données personnelles ? Adopté en avril 2016, le règlement a laissé deux ans aux Etats et à leurs entreprises pour s’y conformer. Voici un état des lieux de sa mise en conformité et des enjeux qu’il soulève.

Pour rappel, en France la loi du 6 janvier 1978 intitulé « Informatique et libertés » régit le traitement des données à caractère personnel. C’est une loi pionnière en la matière au sein de l’Europe. Désormais, l’Union européenne entend renforcer et harmoniser les principes posés pour tous les Etats membres de l’Union.

Dans le fond, l’objectif du RGPD est triple :

  1. Renforcer les droits des personnes
  2. Responsabiliser les acteurs traitant des données
  3. Crédibiliser la régulation au niveau de l’Union

Le tour de force réside en la responsabilisation des acteurs traitant des données. Dans le régime précédent (avant RGPD), existait un système déclaratif. Les acteurs devaient remplir des formulaires de déclaration de traitement auprès de la CNIL qui se prononçait à posteriori sur la légalité. Désormais, les acteurs doivent se conformer d’eux-mêmes aux règles (en anglais accountability) et cette conformité doit être mise en place et être vérifiée dès la conception du service ou du produit (privacy by concept/privacy by design). Pour cela une fonction spéciale est créée : le délégué à la protection des données (ou DPO en anglais pour Data Protection Officer). Ce dernier aura un rôle central et déterminant au sein des entreprises et des administrations. Il devra à la fois avoir des compétences juridiques mais aussi techniques pour pouvoir juger du respect des règles qu’imposent le règlement. C’est dans la nomination et la définition du périmètre de compétences du DPO que réside la plus grande difficulté pour les entreprises.

Conscient de cette difficulté, la CNIL est pro-active et publie des guides de bonnes pratiques. Selon Isabelle Falque-Pierrotin, actuelle présidente de la CNIL « il n’y aura pas un couperet le 25 mai 2018. En réalité, on angle sur une stratégie d’accompagnement de ces acteurs pour faire en sorte qu’elles [les entreprises] comprennent les nouvelles obligations, les nouveaux outils qu’elles doivent déployer. »

Et vous dans tout ça ? La loi du 6 janvier 1978 conférait des droits très protecteurs en comparaison à nos voisins européens. Le RGPD ne fait que les renforcer et les harmoniser pour tous les citoyens européens.

Sources :
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460
https://www.harmonie-technologie.com/RGPD-comp%C3%A9tences-DPO