La diversification des services en ligne s’est accompagnée d’une multiplication des techniques de collecte des informations relatives aux individus. Cette collecte accrue et massive des données à caractère personnel représente une source de menaces pour les utilisateurs, comme le montre le scandale de Cambridge Analytica, entreprise accusée d’avoir récupéré frauduleusement les données de millions d’utilisateurs Facebook.
Il convient, dans ce contexte de circulation et d’exploitation générale des données, de protéger les individus. L’essence même du RGPD est de préserver les droits des personnes par rapport au traitement de leurs données à caractère personnel, en fixant de nouvelles règles.
La logique de responsabilisation imposée par le RGPD est une innovation majeure du texte. En effet, le concept d’« accountability »[1] caractérise le changement du mécanisme des formalités préalables vers un mécanisme d’autocontrôle. Le régime d’autorisation sera ainsi remplacé par une nouvelle procédure, centrée sur l’étude d’impact sur la vie privée[2]. Le contrôle a priori de la conformité des traitements est désormais à la seule charge du responsable du traitement[3] et non plus de la CNIL.
L’objectif vise à responsabiliser les acteurs du traitement des données[4] en mettant à leur charge de nouvelles obligations de sécurité. Le but est de prendre en compte ce principe de protection dès la conception du système de traitement des données par l’application de nouveaux outils de conformité : certification des traitements, notification des failles, tenue d’un registre des traitements, réalisation d’études sur l’impact sur la vie privée, création d’un poste de délégué à la protection des données et adhésion à des codes de conduite.
De plus, avec le nouveau règlement il faudra revoir l’ensemble du processus de collaboration avec les sous-traitants. Ces derniers se trouvent désormais tenus d’aider le responsable de traitement à être conforme au règlement, et ils peuvent même être sanctionnés en cas de manquement à leurs obligations. Les contrats de prestations externalisées devront être adaptés en ce sens.
Autre innovation, celle relative au champ d’application territorial. Le Parlement européen et le Conseil ont élargi le champ d’application territorial du texte[5]. Le RGPD aura un impact pour toutes les entreprises qui mettent en œuvre des traitements de données personnelles, y compris pour celles situées en dehors de l’UE.
Pour que ces règles soient respectées, le règlement a prévu des sanctions pour le moins dissuasives. Il prévoit la possibilité de prononcer des amendes administratives qui peuvent s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre annuel mondial et non seulement de celui de l’État où l’infraction est commise.
Dans ce contexte réglementaire, l’entreprise devra être en mesure d’apporter la preuve de sa conformité avec le RGPD à la moindre requête de la CNIL. Si toutes les entreprises ne peuvent ignorer l’échéance du 25 mai 2018, nombre d’entre elles ne savent toujours pas de quelle manière procéder. Il va falloir identifier rapidement ce qu’il faut faire. C’est-à-dire procéder à une analyse des risques sur la situation actuelle et à un mapping des prérequis du RGPD, identifier les écarts importants en termes de sécurité et définir une stratégie d’implémentation. Vaste chantier pour lequel elles ont tout intérêt à se faire accompagner, car cela requiert une expertise bien spécifique.
[1]Article 24 du RGPD
[2]Le régime d’autorisation pourra être maintenu par le droit national (par exemple en matière de santé)
[3]La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement
[4]Responsables du traitement et sous-traitants
[5]Article 3 du RGPD