La protection des données à caractère personnel change de cap : son passage du statut de directive à celui de règlement implique de profonds changements. Entreprises, préparez-vous !

Applicable à l’ensemble des États de l’Union européenne, le General Data Protection Regulation (GDPR) entrera en application le 25 mai 2018. Ce règlement uniformisera la protection des données, dans un meilleur respect du droit de la concurrence et renforcera le droit des personnes physiques en interdisant tout traitement des données sans le consentement de celles-ci. Son champ d’application est par ailleurs plus large : demain, le sous-traitant, au même titre que le responsable de traitement, sera responsable légalement.

En effet, le principe fondamental du règlement européen –the accountability– consiste en une responsabilisation plus forte des entreprises. À tout moment, elles doivent être capables de prouver qu’elles respectent les principes relatifs au traitement des données personnelles. Le champ  d’application territoriale du règlement est également étendu. Car l’un des objectifs sous-jacents au GDPR est bien de ne plus permettre aux entreprises étrangères, particulièrement aux GAFA (Google, Apple, Facebook, Amazon), d’échapper à son application. D’où les deux niveaux de sanctions mises en place en cas de non-respect de la réglementation : des amendes pourront s’appliquer pour un montant allant de 10 millions d’euros et 2% du chiffre d’affaires annuel mondial jusqu’à 20 millions d’euros et 4% du chiffre d’affaires annuel mondial. En France, avant la loi sur la République numérique, les sanctions administratives s’élevaient à 150 000 euros…

3 questions à Anne-Laure Villedieu, avocat associé en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

Quel changement profond pour les entreprises ?

La grande nouveauté est que les entreprises vont devoir intégrer la composante « protection des données personnelles » à chaque stade de leur activité. Le principe de privacy by design and by default, l’obligation de tenir à jour un registre des traitements mis en oeuvre en leur sein, l’obligation de désigner un délégué à la protection des données personnelles (Data Protection Officer, DPO) dès lors qu’elles traitent, pour les besoins de leurs activités essentielles, des données à grande échelle, et ce, quelle que soit la taille de l’entreprise.

Le DPO est-il nécessairement une personne de l’entreprise ?

Il peut faire partie de l’entreprise, mais cette fonction peut aussi être externalisée. Des entreprises privées proposent ce service et les cabinets d’avocats peuvent également s’en charger.

Quels conseils peut-on actuellement donner aux entreprises ?

Dès à présent, les entreprises doivent entamer les démarches nécessaires à l’adaptation du projet GDPR pour mettre en place une feuille de route leur permettant d’être effectivement en conformité dès le 25 mai 2018.

Le GDPR, une contrainte pour les entreprises
Il est avant tout une incitation à se pourvoir de moyens appropriés pour protéger les données à caractère personnel face aux menaces actuelles. Quant aux pénalités, leur but est de responsabiliser les entreprises et de les inciter à prendre les mesures nécessaires pour assurer la sécurité des données.

Protection des données : à nouveau règlement, nouvelle donne – Interview paru dans le magazine des Entrepreneurs CroissancePlus de novembre 2017#10