Le règlement européen sur la protection des données personnelles sera applicable à partir du 25 mai 2018. Même si certaines formalités sont allégées, la vie des entreprises traitant des données personnelles (clients, salariés…) va se complexifier : leur responsabilité est accrue ; les droits des personnes sont renforcés (création d’un droit à la portabilité des données personnelles, droit à l’oubli….) et les sanctions prononcées par les autorités de contrôle sont alourdies (de 2 à 4% du chiffre d’affaires annuel mondial).

Ce texte présente pour les entreprises des aspects positifs, parmi lesquels figurent :

  • un guichet unique leur permettant d’être en contact avec une seule autorité nationale de contrôle (ex : la CNIL), retenue en fonction du lieu de son administration centrale dans l’Union ; cette autorité de contrôle est « chef de file » pour le traitement transfrontalier des données (enquêtes, échanges d’information,…) ;
  • un comité européen de la protection des données (« CEPD ») est institué pour veiller à l’application cohérente du règlement par l’ensemble des autorités nationales ;
  • la licéité du traitement de données reconnait la nécessité de traitement aux fins des intérêts légitimes poursuivis par le responsable de traitement, donnant ainsi une relative autonomie aux entreprises pour traiter les données dont elles disposent ;
  • le délégué à la protection des données (« DPO »), destiné à se substituer au correspondant informatique et liberté « CIL », est appelé à devenir le « chef d’orchestre » de la donnée, en capacité de reporter directement à la direction générale.

Ce règlement demeure en revanche lourd de conséquences, notamment sur les points suivants :

  • le plafond des amendes administratives susceptibles d’être prononcées par l’autorité de contrôle en charge du dossier, qui doit prendre en considération différents critères (notamment la nature, la gravité, la durée de la violation au règlement), s’échelonne entre 2 et 4% du chiffre d’affaires annuel mondial total de l’exercice précédent;
  • les entreprises ont une obligation générale de mettre en place des mesures appropriées et d’en démontrer la conformité à tout moment (principe de responsabilisation ou « accountability») en développant de nombreux outils (analyse d’impact, tenue d’un registre des traitements mis en œuvre, notification de violations de données, certification et adhésion à des codes de conduites…).

En prévision de sa future application, le G 29 (groupement européen des autorités nationales de contrôle) s’emploie à préciser les principales difficultés de compréhension de ce texte (droit à la portabilité, DPO, étude d’impact sur la vie privée, certifications et labels …). Dans ce cadre, l’Afep participe aux différentes consultations organisées par la CNIL afin que les orientations retenues soient aussi pragmatiques que possible pour la vie des entreprises.