Protection des données personnelles : savez-vous que le Règlement européen du 27 avril 2016 nous concerne tous (ou quasiment) ?
Beaucoup le savent bien car, comme tous ceux qui traitent des informations relatives à notre personne (nos nom, prénom, domicile, date de naissance et plus encore ! …), ils nous préparent l’entrée en application de ce Règlement, dit Règlement général sur la protection des données (RGPD). Ce sera le 25 mai 2018. Pour eux, le compte à rebours a commencé.
Ce sont nos banquiers, nos assureurs, nos fournisseurs (d’internet, d’eau, de gaz, d’électricité, et de tous autres biens ou produits), nos employeurs, mais aussi les organismes divers (collectivités locales, administrations, services publics, universités, hôpitaux, etc..) avec lesquels nous sommes ou avons été en relation, bref tous ceux qui, dans le cadre de leur activité, détiennent et manipulent – de manière informatique ou pas – tous ces éléments qui nous sont propres (à noter que tout ce qui vise la sécurité nationale relève d’autres textes spécifiques). Cela fait beaucoup de monde.
D’autant plus que le Règlement concerne tous ceux qui exercent leur activité sur le territoire de l’UE même s’ils n’y sont pas établis ….Oui ! Une grande entreprise américaine ou chinoise qui, à partir de son siège, offre des biens ou des services à des personnes résidant dans l’UE sera soumise au règlement.
Il va sans dire que Google, Amazon, Facebook ou Apple sont concernées comme le sont toutes les autres entreprises étrangères (qu’elles aient ou non une filiale ou une succursale dans l’UE), qui traitent les données de résidents européens (et non pas seulement de citoyens européens…).
Cela répond à une forte demande de la société civile (consommateurs, ONG) soutenue intensément par le Parlement européen très actif sur ces questions et qui l’a bien montré lors des travaux préparatoires à l’adoption du Règlement. On peut dire que le texte est un acte militant européen : l’UE prend position contre ses partenaires économiques des autres pays du monde pour protéger ses résidents.
Mais quelle protection ? Sans pouvoir ici entrer dans la technique juridique, on retiendra les deux principaux objectifs :
1 – assurer aux personnes protégées une certaine maîtrise sur leurs données personnelles. Quelques règles existaient déjà dans la directive que le règlement remplace (droit d’accès à nos données personnelles, droit d’opposition et de rectification), d’autres sont introduites (portabilité, droit à l’oubli et de limitation).
2 – assurer la sécurité des données traitées. Le Règlement opère une véritable révolution par rapport à la situation antérieure où le contrôle de la conformité se faisait préalablement au traitement : l’entreprise détenant des données devait, avant tout traitement, accomplir diverses déclarations et formalités auprès de l’autorité nationale compétente (la CNIL en France, la Commission de la protection de la vie privée en Belgique, ou encore la Commission nationale de la protection des données au Luxembourg) ; désormais l’entreprise est entièrement responsable du contrôle de la conformité de son système de traitement. C’est, selon la terminologie anglaise, l’accountability. L’entreprise doit prendre les mesures techniques et organisationnelles appropriées pour assurer en permanence la sécurité et la confidentialité des données qu’elle traite (on pense évidemment au vol des fichiers, leur destruction, leur détérioration…). Elle doit, en principe, désigner un délégué à la protection des données personnelles tant dans les secteurs public que privé (art.37 du Règlement).
Tout cela exige pour bon nombre d’entreprises qu’elles repensent (voire reconstruisent) leurs différents systèmes de traitement pour assurer le respect de ces deux objectifs. Chantier parfois considérable et d’autant plus difficile que le Règlement couvre tous les secteurs d’activités (il est horizontal et non sectoriel) et ne prend donc pas en compte les exigences spécifiques à tel ou tel secteur. Ce sera à chaque opérateur de s’adapter aux règles édictées par le Règlement… Il y aura sans aucun doute des disparités dans l’interprétation de tel ou tel concept évoqué par le texte mais sans y être précisément défini : la confidentialité par exemple.
Un important travail de coordination sera assuré par les autorités nationales au sein du Comité européen de la protection des données CEPD (qui remplacera en mai 2018 le G29, instance consultative composée des autorités nationales, prévue à l’article 29 de la directive de 1995, et qui est déjà à l’œuvre). La nouvelle autorité européenne aura de nombreuses missions et pouvoirs (art. 68 et suiv. du Règlement), y compris la compétence pour émettre un avis contraignant quant aux amendes qui pourraient, en cas de violation du Règlement, être infligées aux entreprises traitant des données dans plusieurs Etats membres, ce qui inclut, on le rappelle, les grandes entreprises du monde entier.
Voilà un bel exemple de « l’Europe qui protège » selon une formule jupitérienne également chère au Président de la Commission européenne !
Blanche Sousi et son équipe