Le règlement général sur la protection des données (RGPD) remplacera la législation européenne existante sur la protection des données en mai 2018, et c'est un sujet brûlant pour de nombreuses entreprises qui en sont à différentes étapes de préparation.
Alors que la directive existante est ouverte à l'interprétation, le RGPD énonce exactement ce qui est nécessaire pour rester dans les limites de la loi. Toute entreprise non conforme sera passible d'amendes.
Alors, quelles sont les réalités du règlement RGPD, et qu'est-ce que les entreprises responsables doivent accomplir pour atteindre la date limite de conformité en mai?
J'ai rencontré Nicola Howell, l'avocat chargé de la protection des données chez Dun & Bradstreet, afin d’en savoir plus sur ce que le RGPD veut dire, sur les personnes touchées et sur la manière dont les entreprises peuvent mieux se préparer et maintenir la conformité au RGPD à long terme.
Qu’est-ce que le RGPD et et pourquoi est-il nécessaire?
Nicola Howell : Le RGPD est le nouveau règlement sur la protection des données en Europe. La législation existante de la Directive sur la protection des données a plus de 20 ans, et au cours des deux dernières décennies, nous avons vu d'énormes progrès dans la technologie. La façon dont les gens utilisent la technologie et les médias sociaux a complètement changé le paysage, et cette réglementation nous rattrape dans le monde d'aujourd'hui.
Cette loi entrera en vigueur dans toute l'UE le 25 mai 2018 et remplacera la directive existante. Comme le Royaume-Uni sera soumis à la législation de l'UE lorsque le RGPD sera appliqué, le gouvernement britannique a signalé son intention d'observer la nouvelle réglementation, malgré le départ imminent de l'UE en raison du Brexit.
En quoi le RGPD est-il différent de la directive actuelle?
Nicola Howell : Nous voyons le RGPD comme une évolution de la législation actuelle. Le livre de règles n'a pas été déchiré et recommencé, il se fonde plutôt sur ce qui est actuellement là, de nombreux concepts sont les mêmes, de nombreuses définitions sont les mêmes. Mais d'un point de vue technique et juridique, il y a une différence fondamentale : la législation actuelle est une directive et la nouvelle législation est un règlement.
La législation actuelle signifie que chacun des états membres peut mettre en œuvre la directive existante dans un certain cadre. Il donne aux états membres une flexibilité et une marge de manœuvre. Un règlement, cependant, s'applique directement dans tous les états membres, assurant plus de cohérence dans tous les domaines. Selon la législation actuelle, il existe 28 versions différentes de ce à quoi ressemble la protection des données, ce qui a créé de la complexité et de la confusion. Maintenant, il y aura une version principale de la loi qui alignera les 28 états membres. D'autres différences sont que la gouvernance des données est renforcée et qu'une plus grande responsabilité sera nécessaire, ce qui signifie que les entreprises doivent consacrer plus de ressources à la réglementation.
Comment le cadre du bouclier de protection de données s’intègre-t-il?
Nicola Howell : Le bouclier de protection des données est un mécanisme approuvé par l'UE pour le transfert de données personnelles hors de l'UE vers les États-Unis. Il ne sert à rien d'avoir une législation en Europe qui passe par la fenêtre lorsque les données sont transférées en dehors de l'Europe. Une organisation doit mettre en place des sauvegardes, et le bouclier de protection des données a été créé par l'UE et les États-Unis comme l'une des nombreuses garanties disponibles pour résoudre ce problème. Le transfert de données personnelles hors de l'UE est une section du RGPD, de sorte que le bouclier de protection des données s'aligne et coïncide avec le RGPD, même s'il le précède.
Quels sont les principaux défis auxquels les entreprises sont confrontées en ce qui concerne la conformité RGPD?
Nicola Howell : Le principal élément que les entreprises doivent comprendre est la façon dont le RGPD les affecte, et je pense que plusieurs d’entre elles y travaillent. Les nouvelles obligations de reddition de comptes prévues dans la loi seront nouvelles pour toutes les entreprises. Chaque entreprise doit examiner la réglementation, déterminer comment elle s'applique à son entreprise et ce que signifie la conformité pour elle. La législation est écrite d'une manière générale pour englober chaque industrie et organisation, indépendamment de la taille ou du type (gouvernement, sans but lucratif ou commercial) qui traite n'importe quel type de données personnelles. Elle couvre tout le monde, des détaillants en ligne aux banques en passant par les vidéothèques, et il aura différents niveaux d'impact.
Comme nous passons d'une directive à une réglementation, certains états membres auront un impact différent des autres. Par exemple, certains peuvent voir un assouplissement des régimes de données, tandis que d'autres envisagent un régime plus restrictif. La manière dont les entreprises gèrent le RGPD varie considérablement selon les pays. Le Royaume-Uni, par exemple, ne verra aucun changement dans les raisons pour lesquelles une entreprise peut traiter des données personnelles : le RGPD est très aligné sur l'actuelle Loi sur la protection des données 1998 en termes de motifs de traitement. Cependant, pour l'Espagne et la Hongrie, un nouveau motif de traitement sera introduit par le RGPD, de sorte que ces états membres s'adaptent actuellement à un tout nouveau concept.
Toutes les entreprises non européennes, comme les entreprises américaines, seront également couvertes par le RGPD si elles essaient de vendre à des particuliers dans l'UE, ou si elles surveillent d'une manière ou d'une autre des données dans l'UE. Le RGPD a été rédigé afin d’assurer un pied d’égalité des entreprises internationales avec les pays européens en ce qui concerne la gestion des données de l'UE.
Sur quoi les entreprises devraient-elles se concentrer pour l'échéance de mai 2018?
Nicola Howell : La législation RGPD est en vigueur depuis 2016, date à laquelle elle a été adoptée, et mai 2018 est la dernière date limite pour s'y conformer. Les entreprises ont eu deux ans, alors on s'attend à ce que tout soit en place au moment où le règlement sera appliqué dans quelques mois. Les entreprises peuvent être poursuivies pour non-conformité, il est donc important de s'assurer que tout est en place.
Les domaines d'intérêt que nous proposons aux entreprises pour les aider à se préparer à la date limite du GDPR incluent :
- Apprenez à connaître vos définitions - Assurez-vous de bien comprendre la réglementation, la terminologie utilisée et l'impact qu'elle aura sur votre entreprise.
- Identifiez vos activités à haut risque - Examinez vos activités commerciales dans leur intégralité pour évaluer l'impact que le RGPD aura et où vous devez vous concentrer pour éviter les pénalités.
- Qui a le droit? - Assurez-vous de bien comprendre les droits des personnes touchées et votre rôle de responsable du traitement des données.
- Transferts internationaux de données - Le RGPD ne s'applique pas seulement aux entreprises au sein de l'UE; il couvre les données personnelles de toute personne européenne, de sorte que les entreprises opérant à l'échelle mondiale doivent être claires sur ce que la réglementation signifie pour elles.