Le 14 avril 2016, le règlement général sur les données personnelles (GDPR) a été adopté par le Parlement Européen dans le but d’uniformiser au sein de l’Union Européenne la protection des données personnelles. Les entreprises, administrations, collectivités locales, associations… et les autorités de protection ont deux ans pour s’y conformer puisqu’il sera applicable à partir de 2018.

Parmi les changements opérés par ce règlement, les trois grands axes majeurs concernent le renforcement des droits des citoyens, les obligations mises à la charge des exploitants de données personnelles et le contrôle de leur respect par les autorités de traitement des données personnelles.

  • Renforcement des droits des citoyens

Tout d’abord, le règlement uniformise le principe de protection des données personnelles des mineurs de moins de 16 ans. Désormais, même si en pratique la plupart des Etats européens exigeaient déjà cette mesure, l’autorisation des parents sera requise pour toute inscription de leurs enfants mineurs sur les réseaux sociaux.

Ensuite, afin que chaque citoyen puisse contrôler le traitement de ses données personnelles, il sera nécessaire que son consentement explicite, clair et non équivoque soit obtenu. Cette mesure s’inscrit dans la lignée de la consécration du droit à l’oubli par une décision de juin 2014 de la Cour de justice de l’Union Européenne : les internautes ont la possibilité de demander aux moteurs de recherches de supprimer des résultats des données personnelles inappropriées, hors de propos ou non pertinentes.

Le règlement a dans la même logique créé le droit à la portabilité qui permet à toute personne concernée, de récupérer ses données à caractère personnel, dès lors qu’elle les a transmises volontairement ou dans le cadre de l’exécution d’un contrat.

L’impact pour les entreprises est considérable. D’un côté ces nouvelles mesures seront profitables pour instaurer de meilleures conditions de concurrence et contribuer à réinstaurer la confiance des clients dans les exploitants de données personnelles, de l’autre, les entreprises vont devoir mettre en place des services d’extractions des données afin de satisfaire aux demandes de portabilité.

Enfin, chaque citoyen sera en droit d’être informé de tout piratage de ses données personnelles. Des actions collectives en ce sens, seront plus facilement menées par les associations d’utilisateurs.

  • Obligations mises à la charge des exploitants de données personnelles

Désormais ce ne seront plus uniquement les entreprises de traitement des données qui seront concernées par leur protection. En effet, leurs sous-traitants devront veiller également à respecter ces nouvelles mesures, dès lors qu’ils sont établis au sein de l’Union Européenne.

Les entreprises collectant des données devront s’adapter aux nouvelles mesures en nommant au sein de leurs locaux, un délégué à la protection des données. Ce dernier sera responsable de la conformité de leur traitement par son entreprise, aux normes européennes.

De même, les entreprises devront être extrêmement réactives, dès lors qu’elles auront l’obligation d’informer la personne victime d’un piratage de ses données, ainsi que l’autorité en charge de la protection des données, la CNIL en France, dans les 72 heures. Outre leur obligation d’information, elles devront veiller à sécuriser les lieux de stockage de ces données afin de prévenir tout risque de piratage.

Les entreprises vont devoir garantir de manière effective et efficace à leurs clients que seules les données uniquement nécessaires à la finalité en cause seront collectées ainsi qu’un droit d’accès, de modification et de retrait des données par la personne concernée.

Enfin ce règlement européen devrait également emporter des conséquences non négligeables sur les relations entre entreprises. En effet, aucune donnée personnelle ne pourra être transmise à une entité hors UE, ne garantissant pas la même protection que le règlement européen.

De manière générale, la sécurité des données personnelles doit devenir une préoccupation majeure des entreprises en collectant, afin qu’elles soient fin prêtes pour 2018. La gestion des risques de cyber attaque, une politique claire et objective de collecte de données et une grande réactivité dans leur traitement sont les nouveaux enjeux auxquels les entreprises devront répondre, sous peine de lourdes sanctions.

  • Contrôle de leur respect par les autorités de traitement des données personnelles

Les citoyens sont autorisés par le règlement à saisir l’autorité étatique de protection des données personnelles. Leurs pouvoirs sont d’ailleurs élargis puisqu’elles pourront sanctionner les entreprises qui ne respecteraient pas leur obligation d’effacement des données, par des amendes pouvant aller jusqu’à un montant de 4% du chiffre d’affaire annuel mondial.

En outre, dans le but d’une harmonisation européenne et du renforcement du pouvoir de sanction, le règlement prévoit la création du Comité Européen de Protection des Données. Le CEPD viendra remplacer en 2018 le G29. Cependant ce dernier n’était principalement qu’un organe consultatif auprès de la Commission Européenne et de recommandation auprès des entreprises.

Le CEPD a vocation à devenir en outre, l’autorité de dernier ressort, après la saisine des autorités nationales telles que la CNIL, pour trancher des litiges liés aux données personnelles.