LʾUE accepte le nouveau règlement de protection des données

Etudes et publications

LʾUE accepte le nouveau règlement de protection des données

Changement de réglementation en matière de protection des données pour les entreprises

Le mardi 15 décembre 2015, les institutions européennes (Conseil de lʾUE, Parlement européen et Commission européenne) ont approuvé le texte final du nouveau règlement général sur la protection des données (RGPD). Le RGPD, initialement proposé par la Commission européenne en 2012, va remplacer l’ancienne directive européenne sur la protection des données et créer une loi de protection des données unifiée, qui sera directement applicable dans les 28 États membres de lʾUE à partir de 2018.

Cadre réglementaire en matière de protection des données pour les entreprises

Avec le nouveau règlement, lʾUE entend renforcer le contrôle des citoyens sur lʾutilisation de leurs données personnelles, tout en simplifiant le paysage réglementaire pour les entreprises. Un mécanisme de « guichet unique » permettra aux particuliers de déposer des réclamations au sujet de lʾutilisation abusive de leurs données auprès de lʾAutorité chargée de la protection des données (DPA, Data Protection Authority) dans leur pays d’origine, plutôt que dans celui de l’entreprise. Les particuliers pourront également se joindre à des recours collectifs par l’intermédiaire d’organisations représentatives (telles que les organisations de protection des consommateurs) qui, si la loi nationale les y autorise, pourront également agir de leur propre initiative.

En cas de violation de la confidentialité des données, les entreprises seront obligées dʾaviser lʾautorité de surveillance compétente, sans retard indu et au plus tard 72 heures après lʾidentification du problème. Afin d’éviter les infractions, il est conseillé de mettre en œuvre les mesures appropriées (ex : utilisation de pseudonymes) avant et pendant le traitement des données, afin de garantir le respect des principes de protection des données (concept de prise en compte du respect de la vie privée dès la conception, décrit ci-dessous). En cas de non-respect de la loi ou de violations des droits des personnes, les entreprises pourront faire lʾobjet dʾamendes administratives pouvant atteindre 20 millions dʾeuros ou 4 % du total de leur chiffre dʾaffaires annuel mondial. Toutes les DPA seront autorisées à prendre de telles mesures, que ce soit directement ou par lʾintermédiaire des tribunaux nationaux.

Les autorités et organismes publics qui traitent des données personnelles, les organisations dont les activités principales exigent la surveillance régulière, systématique et à grande échelle dʾindividus ainsi que les organisations traitant des données personnelles sensibles à grande échelle devront désormais nommer un Délégué à la protection des données (DPD). En outre, le droit national pourra exiger que dʾautres organisations nomment un DPD. Les tâches principales dʾun DPD consisteront à garantir la conformité avec les principes de protection de la sphère privée fixés par le RGPD et à gérer les relations avec les personnes concernées (employés, clients) et les autorités de surveillance.

Pour veiller à ce que la protection de la sphère privée soit prise en compte dans toute l’entreprise et au début de chaque nouveau processus ou projet impliquant l’utilisation de données personnelles, le RGPD introduit le concept de prise en compte du respect de la vie privée dès la conception. Pour assurer la mise en œuvre de ce principe, le règlement oblige les organisations à effectuer des analyses dʾimpact relatives à la protection des données (AIPD) avant leur traitement, si lʾon considère que ce dernier présente un risque élevé eu égard au droit des personnes.

Outre la réaffirmation des principes essentiels de protection de la vie privée, tels que la restriction dʾutilisation, la minimisation des données, la précision, la limitation du stockage, l’intégrité et la confidentialité, le règlement montre désormais l’accent mis par les autorités de réglementation sur la responsabilité. Le contrôleur de données devra en effet être responsable de la conformité avec le règlement et être en mesure de le démontrer. A cet égard, les politiques et procédures relatives à la vie privée et à la sécurité des données, les enregistrements de traitement des données personnelles (tels que les inventaires ou le mapping des flux de données), les programmes de formation et de sensibilisation documentés, les analyses dʾimpact relatives à la protection des données et les plans de conformité et dʾaudit seront considérés comme des éléments clés.

Télécharger le PDF (anglais)

Renforcer les droits fondamentaux des citoyens

Lʾune des principales raisons dʾêtre du nouveau règlement repose sur un objectif de lʾUnion européenne qui consiste à restaurer la confiance des consommateurs dans la façon dont les données sont traitées en ligne. La loi réaffirme donc que les citoyens ont le droit de se faire oublier, ce qui obligera les entreprises à effacer leurs données personnelles s’ils le demandent, pourvu que certaines conditions soient remplies. Si une entreprise propose des services en ligne (ex : e-commerce, médias sociaux) à un enfant, lʾâge de consentement valable est fixé à 16 ans. Les États membres peuvent cependant réduire cet âge sur leur territoire jusquʾà 13 ans.

Right to be forgotten

Le droit national susceptible dʾengendrer des différences

Alors que le RGPD vise à rationaliser les lois de protection des données dans lʾUnion européenne, nous sommes encore loin dʾune harmonisation complète. Le règlement autorise les États membres à aller plus loin dans plusieurs domaines, notamment pour déterminer les circonstances additionnelles dans lesquelles un DPD peut être nommé. Les DPD et les autres préposés au respect de la vie privée devront donc continuer à surveiller l’évolution de la législation nationale en matière de vie privée dans les États membres.

Member State law

Conséquences pour les entreprises suisses

La Suisse ne faisant pas partie de lʾUE ou de lʾEEE, la réforme de la loi européenne sur la protection des données nʾa pas dʾimpact direct sur ses entreprises. Toutefois, la réforme touchera tout de même les entreprises suisses dans les cas décrits ci-dessous.

Le nouveau régime de protection des données de lʾUE s’appliquera directement à tout traitement de données réalisé par des entités de groupe situées dans lʾUE et des entreprises basées en Suisse qui exercent des activités commerciales au sein de lʾespace de lʾUE et ont accès aux données personnelles de leurs clients, fournisseurs et employés de lʾUE.

Dans ce contexte, plusieurs nouvelles exigences importantes ont été mises en place, notamment mais non exhaustivement :

  • la notification des violations de données dans les 72 heures ;
  • les exigences relatives aux délégués à la protection des données ;
  • les sanctions pouvant atteindre 4 % du total du chiffre d’affaires mondial annuel ou 20 millions d’euros ;
  • le consentement indubitable ou explicite.

Par ailleurs, la révision en cours de la Loi fédérale sur la protection des données (LPD) sera fortement influencée par :

  • la modernisation par le Conseil de lʾEurope de la « Convention relative à la protection des personnes à lʾégard du traitement automatisé des données à caractère personnel ratifiée par la Suisse»;
  • le nouveau RGPD (données personnelles des individus) ;
  • la nouvelle Directive sur la protection des données pour les secteurs de la police et de la justice pénale.

En fin de compte, les trois nouvelles dispositions européennes obéissent aux mêmes principes. Même si les principes fondamentaux de la LPD resteront probablement identiques à ceux en vigueur aujourd’hui et que la LPD actuelle ne nécessitera que des ajustements mineurs, les législateurs suisses pourraient copier de grandes parties du RGPD final dans la LPD révisée afin de maintenir lʾharmonisation de lʾespace économique.

Indépendamment de la révision de la LPD, le nouveau régime de protection des données de lʾUE concernera directement de nombreuses entreprises basées en Suisse, si celles-ci exercent des activités commerciales dans lʾUE et ont accès aux données personnelles de leurs clients, fournisseurs et employés de lʾUE. Dʾautre part, toutes les entreprises suisses devront absolument se familiariser avec le nouveau RGPD et ses exigences, afin de commencer à déterminer si elles sont concernées par les nouvelles règles et de lancer les travaux préparatoires (ex : examen des supports d’interaction avec la clientèle pour assurer la conformité avec les nouvelles exigences en matière de consentement et de transparence, examen et modification, le cas échéant, des contrats avec les prestataires chargés du traitement des données). Ainsi, elles pourront faire en sorte que tous les ajustements nécessaires soient faits à temps pour se conformer aux nouvelles exigences en matière de protection des données dans lʾUE et en Suisse.

Consequences for Swiss businesses

Et ensuite ?

Bien que les négociateurs du Conseil européen et du Parlement européen soient parvenus à un accord sur le texte final du règlement, les deux institutions doivent encore lʾadopter officiellement. Le 17 décembre 2015, le Comité parlementaire en charge a adopté le RGPD avec 48 votes pour et 4 contre. Le règlement sera donc présenté à la séance plénière du Parlement au cours des premiers mois de 2016. En outre, les chefs des États membres de lʾUE doivent se réunir en février 2016 et devraient voter le règlement à cette occasion.

Dès que le Parlement et le Conseil auront adopté officiellement le texte final et que le RGPD sera publié, les organisations et les autorités de réglementation disposeront d’un délai de deux ans pour se préparer à l’entrée en vigueur officielle du règlement au deuxième trimestre 2018. Cette période de transition de deux ans sera plus courte dans les pays qui choisissent d’intégrer plus rapidement le RGPD dans leur droit respectif.

Calendar

Historique des étapes législatives

25 janvier 2012

La Commission européenne propose un nouveau RGPD

12 mars 2014

Le Parlement européen approuve un projet modifié

15 juin 2015

Le Conseil de l’Union européenne modifie une nouvelle fois le projet

Du 16 juin au 15 décembre 2015

Discussions tripartites entre le Parlement, le Conseil et la Commission

15 décembre 2015

Conclusion dʾun accord tripartite sur le RGPD

17 décembre 2015

Le Comité LIBE du Parlement européen adopte le RGPD

18-19 février 2016

Le Conseil européen devrait adopter officiellement le RGPD

Mars-avril 2016

Le Parlement européen devrait adopter officiellement le RGPD en séance plénière

2ème trimestre 2016

Publication prévue du RGPD au Journal officiel des Communautés européennes

2ème trimestre 2018

Entrée en vigueur officielle du nouveau RGPD

Legislative steps

Analyse détaillée à suivre

Le projet final du RGPD publié fait plus de 200 pages. Comme pour toute nouvelle loi, il faudra du temps pour lire et bien comprendre tous les considérants et articles et cerner les différences avec la législation actuelle.

Il est également important de rappeler que, malgré les nombreuses versions officielles et officieuses disponibles auparavant, le RGPD est désormais la seule et unique version de référence. Deloitte prendra le temps d’analyser en détails cette loi et son impact sur les contrôleurs de données et prestataires chargés du traitement des données basés en Suisse, et vous encourage à faire de même. Une analyse plus approfondie des questions soulevées sera publiée en temps utile.

Detailed analysis

Notre équipe est en contact permanent avec les dirigeants du département Global Deloitte Privacy ainsi qu’avec les autorités de protection des données concernant l’impact et les conséquences du RGPD. Ainsi, nous sommes en mesure de conseiller nos clients à l’international sur les prochaines mesures à prendre. Parce que le concept de protection de la vie privée doit être traité sous les angles juridique, technique et organisationnel, notre équipe pluridisciplinaire spécialiste de ce sujet réunit des experts issus de nombreuses disciplines différentes qui, ensemble, sont en mesure d’apporter des solutions complètes. Pour toute question sur le RGPD, la protection de la vie privée ou des données au sein de votre entreprise, n’hésitez pas à prendre contact avec nous. Conscients que chaque organisation a des besoins différents, nous serons ravis de vous fournir des informations et conseils adaptés à votre situation.

Cela vous a-t-il été utile ?