Rechercher
  • Nadezhda Svinarova-Petrova

Les nouvelles exigences du règlement général sur la protection des données pour les entreprises

Dernière mise à jour : 15 sept. 2021



Un nouveau cadre juridique pour la protection des données dans l'Union européenne est désormais officiel avec la publication au Journal officiel de l'Union européenne le 4 mai 2016 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et de la libre circulation de ces données, et abrogeant la directive 95/46/CE (« règlement sur la protection des données »).


​Ainsi, le changement tant attendu de la protection des données est enfin arrivé dans un secteur où la valeur des données personnelles atteindra près de 1 000 milliards d'euros par an d'ici 2020*. Cette croissance considérable créera naturellement de nouvelles opportunités commerciales et les entreprises doivent être préparées au nouvel ensemble de normes afin de saisir ces opportunités sans risque.


​Pour comprendre les raisons et l'importance de ce nouvel instrument juridique européen, cinq questions principales doivent être résolues.


​Pourquoi l'adoption d'une nouvelle protection est-elle si importante ?


Avec le rythme intense des progrès technologiques, la protection de la directive 95/46/CE s'est rapidement révélée dépassée. Depuis que cette lacune est devenue évidente, les institutions européennes sont confrontées à une tâche très difficile : intégrer les changements technologiques de plus de 20 ans dans un nouvel instrument juridique qui offre une protection adéquate dans les situations actuelles et couvre (espérons-le) les développements futurs.


​Les institutions européennes mettent en avant les avantages de la nouvelle protection tant pour les particuliers que pour les entreprises** :


- Fournir un cadre juridique cohérent dans tous les États membres : plus de 90 % des Européens affirment avoir déjà ressenti personnellement l'incohérence de la mosaïque de lois nationales à travers l'Union européenne et ont confirmé qu'ils voulaient les mêmes droits de protection des données dans chaque État membre ;


- Supprimer les obstacles au commerce transfrontalier et développer les projets beaucoup plus facilement ;


- Réduire les coûts et augmenter les profits : les bénéfices sont estimés à 2,3 milliards d'euros par an.


Cependant, alors que les institutions annoncent fièrement leur accord et attirent l'attention sur les avantages et opportunités indéniables du règlement sur la protection des données, la charge pour les entreprises de mettre en œuvre les nouvelles exigences est importante.


2. Comment les institutions européennes abordent-elles la question ?


Contrairement à l'ancien instrument européen sur la protection des données (directive), cette fois le législateur européen a fait le choix d'un règlement.


​La raison en est que les 28 lois différentes sur la protection des données au sein de l'Union européenne ont considérablement compliqué le développement de projets impliquant plusieurs pays membres ainsi que le travail quotidien des groupes d'entreprises.


En effet, alors qu'une directive doit être transposée et appliquée par une législation nationale qui laisse aux États une certaine flexibilité, la réglementation devient loi dans les termes mêmes où elle est adoptée.


​Ainsi, le besoin de règles cohérentes et uniformes dans l'UE ne pouvait être satisfait qu'au moyen d'un règlement.


3. Quel sera l'impact sur les entreprises ?


Le premier impact majeur du règlement sur la protection des données est son application extra-européenne car il s'appliquera à toute personne qui touche aux données des citoyens de l'UE, quel que soit son lieu d'activité et le lieu où les données sont traitées. Cette nouvelle responsabilité élargie obligera les entreprises à effectuer un audit de leurs contrats existants avec des tiers, y compris les sous-traitants auxquels la protection des données s'appliquera également (c'est-à-dire les fournisseurs de cloud), et à procéder aux modifications requises.


Surtout, des obligations de conformité accrues sont prévues dans ce nouvel instrument juridique qui nécessitera de reconsidérer l'organisation interne des entreprises.


​Les données doivent être classées et les évaluations des risques doivent être effectuées par catégories. Des codes de conduite et des procédures internes sur le traitement des données devront être adoptés et révisés systématiquement.


​rmais, la question des données personnelles devra se poser au stade même de la conception des nouveaux projets (privacy-by-design) afin d'appliquer dès le départ les mesures appropriées.


La personne qui supervisera cette nouvelle organisation interne sera le Délégué à la Protection des Données dont la nomination devient obligatoire dans certaines circonstances, notamment pour les entreprises qui traitent des données sensibles. Le règlement énonce clairement l'importance d'un tel organisme en impliquant que les délégués à la protection des données devront être dotés de toutes les ressources nécessaires pour remplir correctement leurs obligations


4. Quand le règlement sur la protection des données s'appliquera-t-il ?


Le règlement sur la protection des données entrera en vigueur le 20e jour suivant la date de sa publication au Journal officiel de l'Union européenne, soit le 25 mai 2016.


Toutefois, il ne s'appliquera pas avant le 25 mai 2018.


Jusqu'à cette date, les équipes de conformité devront travailler dur pour examiner les nouvelles exigences et mettre en place des processus pour s'y conformer.


5. Et si les entreprises ne sont pas prêtes pour leurs nouvelles obligations en matière de protection des données ?


Les conséquences pour les entreprises incapables de répondre aux nouvelles exigences à la date annoncée pourraient être importantes : le règlement sur la protection des données prévoit des amendes majorées pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial d'une entreprise, selon le montant le plus élevé.


De plus, un recours collectif est introduit et les manquements pourraient entraîner des coûts financiers importants et des dommages à la réputation.


Ainsi, tout non-respect des nouvelles exigences pourrait avoir un impact significatif pour les entreprises et notamment pour les groupes d'entreprises internationaux.


​Il semble que la période de deux ans pour se préparer aux exigences du règlement sur la protection des données ne sera suffisante que pour les entreprises qui commencent à travailler sur cette question sans tarder.



*V. Reding, Réforme de la protection des données : restaurer la confiance et construire le marché unique numérique, 4e conférence européenne annuelle sur la protection des données/Bruxelles, 17 septembre 2013.


**V. Jourova, Réforme de la protection des données : quels avantages pour les entreprises en Europe ?, Fiche d'information janvier 2016.

4 vues0 commentaire