Protection des données : entre droits, devoirs et opportunités

30/06/2016, publié par GrégoryKrumm
Règlement européen sur les données personnelles

Publié fin avril, le règlement européen sur la protection des données personnelles ne sera effectif qu’au printemps 2018 dans les 28 pays membres. D’ici deux ans, ce cadre juridique unifié se substituera aux réglementations nationales, permettant une harmonisation des règles au sein de l’Union européenne. Il constitue un tournant majeur en matière de régulation des données personnelles et impacte particuliers et entreprises.

Pour les internautes, le règlement européen sur les données personnelles est synonyme de droits renforcés et d’un meilleur contrôle de leurs données personnelles. Plus de onze droits leur seront reconnus, au lieu des trois que prévoit la loi « Informatique et libertés », complétant ainsi certaines dispositions de la Loi numérique adoptée le 29 janvier dernier :

  • garantie que les politiques relatives à la vie privée soient expliquées dans un langage clair et compréhensible ;
  • reconnaissance du droit à l’oubli ;
  • obligation de donner son consentement clair et explicite pour l’utilisation de ses données personnelles ;
  • droit à la portabilité des données, permettant le transfert de ses données en cas de changement de fournisseur de services ;
  • droit d’être informé en cas de piratage des données.

Du côté des particuliers, la volonté clairement affichée est donc celle d’une meilleure protection. À laquelle les entreprises devront répondre à la lettre sous peine d’amende pouvant atteindre jusqu’à 4 % de leur chiffre d’affaires mondial. Dissuasif.

Puisqu’il a par ailleurs été prouvé que les pare-feu et autres antivirus s’avèrent insuffisants pour faire face au recel de données personnelles, les entreprises sont appelées à repenser leur politique de sécurité interne. Le règlement européen sur les données personnelles prévoit ainsi diverses dispositions en ce sens :

  • la démarche de Privacy by design (respect de la protection des données dès la conception) ;
  • la démarche de Security by default (sécurité par défaut) ;
  • les règles d’accountability (obligation de documentation) ;
  • l’étude d’impact avant la mise en œuvre de certains traitements ;
  • la désignation obligatoire d’un Data Protection Officer.

Au-delà d’une nouvelle brique à la transformation numérique des entreprises, cette évolution réglementaire semble être l’opportunité pour elles de gagner ou de renforcer la confiance avec leurs clients en montrant qu’elles mettent tout en œuvre pour respecter leurs droits. Un challenge que le G29, qui rassemble les CNIL européennes, les aidera à relever d’ici 2018.