Introduction au RGPD

Qu’est-ce que le RGPD ?

Le RGPD, c’est (in extenso) le « Règlement (UE) 2016 / 679 du Parlement Européen et du Conseil du 24 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ».

Donc, en résumé, le Règlement Général sur la Protection des Données, ou RGPD.

Le RGPD, c’est maintenant

Bien qu’adopté le 27 avril 2016, le texte ne sera applicable qu’à compter du 25 mai 2018. Le délai devait permettre à toutes les entités concernées de se mettre en conformité.

Oui, mais deux ans pour que les entités en question (non seulement les entreprises, mais aussi les associations, fondations ou personnes physiques qui construisent et entretiennent, du fait de leur activité, des bases de données sur des personnes physiques) comprennent qu’elles sont concernées, et se décident à initier un projet de mise en conformité, c’est en fait très court.

D’autant plus court que, contrairement à la directive 95/46/CE que le RGPD va remplacer, les nouvelles dispositions vont concerner les entreprises bien au-delà des frontières de l’Union Européenne.

Du coup, en pratique, les études montrent que seule une entreprise sur dix à peu près s’est préparée au RGPD, et encore, il s’agit des entreprises basées ou présentes dans l’Union Européenne. Le taux des entreprises suisses prêtes pour le 25 mai est bien plus bas, et le 25 mai, c’est dans quelques semaines.

Le RGPD, ça veut servir à quoi ?

L’Union Européenne avait déjà une législation concernant la protection des données, la Directive de 1995. Toutefois, cette législation avait des points faibles : elle ne s’appliquait vraiment qu’aux entreprises ayant des établissements dans l’UE, elle a été dépassée par les progrès de la technologie, elle n’a pas été mise en place de façon égale dans tous les pays de l’UE, et elle n’allait pas assez loin dans l’attribution de droits aux personnes dont les données à caractère personnel sont collectées et traitées.

Le nouveau Règlement cherche à remédier à tout cela. D’abord, il donne des droits plus étendus aux personnes physiques dont les données sont collectées ; cela veut dire des obligations plus concrètes et plus lourdes pour les organisations qui collectent et traitent ces données : plus de transparence, plus de contrôles, plus de respect des souhaits des personnes, et plus de sécurité des données contre une utilisation non prévue.

Concrètement, cela veut dire beaucoup d’informations à donner à la personne avant d’obtenir son consentement pour collecter des données personnelles, des obligations d’information et de respect de ses souhaits pendant que les données sont en la possession du responsable du traitement, et une obligation générale de documentation précise et exhaustive du comment, où, pourquoi, quand, etc. du traitement des données.

Dernière nouveauté, et pas des moindres : c’est au responsable du traitement de données à caractère personnel de démontrer qu’il a pris les mesures appropriées pour être en ligne avec le RGPD, et non pas aux autorités de contrôle ! Un renversement de la charge de la preuve très important, d’autant plus que les « mesures appropriées » doivent en tout temps prendre en compte l’évolution des technologies et de la législation à l’avenir.

Le RGPD va s’appliquer à qui réellement ?

C’est une autre grande nouveauté : non seulement le RGPD va s’appliquer aux organisations qui sont établies sur le territoire de l’UE, mais aussi à toutes les organisations qui collectent ou traitent des données personnelles concernant des personnes elles-mêmes établies dans l’UE, où que soient ces organisations. Par conséquent, les entreprises, ou organisations, ou même individus hors UE qui commercent ou ont une activité quelconque qui inclut la collecte ou le traitement de données personnelles de personnes physiques situées dans l’UE entrent dans le champ d’application du RGPD.

N’est-ce pas très théorique tout ça ?

Oui, et non. Déjà sous le régime de la Directive, le transfert de données vers des pays hors UE était soumis à des conditions, la principale étant que le pays de destination devait bénéficier d’un « certificat d’adéquation » pour être considéré comme « sûr » par l’UE, et pour cela il devait avoir une législation sur la protection des données jugée équivalente, ou au moins admissible, par l’UE. La même chose va être nécessaire pour le RGPD, sachant que ce règlement va nettement plus loin.

Par conséquent, les pays avec certificats doivent revoir leur législation et la rapprocher très sensiblement du RGPD, sinon leur certificat ne sera pas renouvelé. Du coup les organisations elles-mêmes devront, individuellement, prouver qu’elles sont conformes au RGPD et qu’elles s’engagent à le rester.

Bien sûr, les autorités en charge du contrôle et de l’application du RGPD ne vont pas pouvoir contrôler tout le monde dès le 25 mai. Mais les grandes organisations qui profitent énormément de l’internet en général et du traitement qu’elles font des données personnelles recueillies auprès des personnes physiques vont être mises sous pression (elles le sont déjà en fait).

Comme par ailleurs les « incidents de traitement », autrement dit les cas de piraterie ou d’abus de traitement sont de plus en plus nombreux, et que la barre de conformité va être placée bien plus haut par le RGPD, les « cas exemplaires » ne vont pas manquer et là, les autorités de contrôle auront la partie beaucoup plus facile, car sous le RGPD c’est au responsable du traitement des données à caractère personnel qu’il appartient de prouver qu’il a bien pris toutes les mesures appropriées pour être en règle.