ANTICIPER LES NOUVELLES RÈGLES DE PROTECTION DES DONNÉES PERSONNELLES

Le respect des données personnelles des utilisateurs de votre site web est un enjeu majeur du Web 3.0. Plus qu’une obligation légale, c’est aussi devenu un objectif marketing. En effet, l’entrepreneur doit éviter à tout prix un bad buzz lié à cette question. Tout autant un piratage des données personnelles des clients qu’une captation de sa part sans avoir prévenu ces derniers.

Les règles relatives à la protection des données personnelles sont régies en France par la (célèbre) loi « Informatique et Libertés« . Prise en 1978, elle fêtera en 2018 ses 40 ans. La même année où sera rendu effectif le futur Règlement européen sur la protection des données (RGPD).

Les nouvelles règles de protection des données personnelles en vigueur fin mai 2018

En droit communautaire (au sens de l’Union Européenne), un règlement est directement applicable dans l’ordre juridique des États membres. De ce fait, il s’impose à tous les sujets de droit, aussi bien les particuliers que les institutions étatiques. Ce qui n’est pas le cas d’une directive par exemple qui sera transposée dans ce même ordre juridique.

Ainsi, la date d’entrée en vigueur du RGPD le 25 mai 2018 est impérativement à entourer dans son calendrier ! Car ce règlement sera d’application immédiate à partir de cette date en France. Et pour faire plus moderne, de nombreux rappels devront être configurés sur les smartphones de tous les entrepreneurs pour qu’ils n’oublient pas cette échéance ô combien importante…

En effet, le futur Règlement européen relatif à la protection des données personnelles apporte des évolutions majeures à la matière. Et il conviendra de les anticiper sans être, le jour J, en situation d’illégalité.

Les principes fondamentaux du règlement européen de protection des données personnelles

Fort heureusement, la loi « République numérique » d’Axelle Lemaire avait commencé à anticiper les modifications profondes du texte communautaire à venir.

Par exemple la portabilité des données (art. L. 224-42-1 du Code de la consommation), permettant aux internautes de récupérer et de faire transiter leurs données d’un prestataire de service à un autre.

Ainsi, si votre site web comporte des espaces clients avec plusieurs jeux de données en son sein, celles-ci devront être réutilisables dans un format ouvert et directement récupérables par vos utilisateurs.

Mais revenons au Règlement européen. Celui-ci répond à 3 grands objectifs :

1. renforcer les droits des personnes,
2. responsabiliser les responsables de traitement et sous-traitants,
3. de manière générale, rendre effectif le plus possible la protection des données personnelles.

Concrètement, que cela va-t-il changer pour les entreprises ?

A l’heure où nous écrivons, les nouvelles règles entreront en vigueur dans 14 mois. Autant cibler dès à présent les éléments sur lesquels il faudra travailler pour préparer en douceur le passage aux nouvelles dispositions le 25 mai 2018 :

1. La plupart des règles relatives de protection ne concerneront plus seulement les responsables de traitements de données personnelles mais aussi le(ur)s sous-traitants.
2. Les obligations de déclaration à la CNIL seront supprimées pour les entreprises pour les traitements les plus simples ne présentant aucun risque pour la vie privée. Tout au plus, celles-ci devront toujours être en mesure de prouver à l’autorité de contrôle qu’elles respectent scrupuleusement le RGPD.
3. Le consentement recueilli des internautes devra être explicite et renforcé par rapport à ce qui est exigé actuellement. Il consistera en une action claire et non équivoque de l’internaute.
4. Concrètement, l’entreprise devra être en capacité de prouver que l’utilisateur de son site a bien donné un réel consentement.
5. L’application du principe de « data protection by design ». Ainsi les données doivent avoir par défaut le plus haut niveau de protection. Egalement, le principe de minimisation impose aux prestataires de services de ne rendre disponibles les données uniquement adéquates, pertinentes et limitées. Et ce, toujours en lien avec la finalité pour laquelle les données sont traitées.
6. Ainsi, l’utilisateur devra corriger de lui-même cet état de départ restreint. En effectuant par exemple une action positive pour permettre que ses données soient plus visibles.
7. Le correspondant Informatique et Libertés (CIL) sera remplacé par un délégué à la protection des données. Ou, en anglais, Data Protection Officer.
8. Autant le CIL était facultatif, autant le DPO sera obligatoire pour les entreprises réalisant un suivi régulier et systématique de personnes ou dont le cœur de métier concerne les traitements de données personnelles sensibles et la géolocalisation.
9. Enfin, pour assurer au mieux le respect du règlement, les fonctions de DPO ne pourront être remplies par les dirigeants d’entreprise. Mais obligatoirement mais par une personne distincte, internet ou externe à l’entreprise.
10. En cas de traitements de données à risque dites « sensibles« , l’entreprise devra conduire une étude d’impact sur la vie privée (EIVP). Cette étude précisera les caractéristiques du traitement, les risques et les mesures adoptées.

Et en cas de mauvaises gestions des données personnelles, quelles sanctions… ?

Enfin, last but not least, quid des sanctions ? Le futur Règlement renforce le respect de la protection des données personnelles par des sanctions sans précédent !

En effet, les entreprises qui ne se plieraient pas aux nouvelles dispositions risquent des amendes pouvant s’élever à 4% du chiffre d’affaires mondial ou 10 millions d’euros dans les cas les plus graves ! Rappelons pour comparaison que la CNIL ne pouvait pas aller avant fin 2016 au-delà de 150,000 euros, contre 3 millions maximum aujourd’hui, avant donc le 25 mai 2018.

En conclusion, les entreprises ont un peu plus d’un an pour appréhender les nouvelles règles de protection des données personnelles et se mettre en conformité.