Dans les grandes entreprises, les gestionnaires de risques s'interrogent les premiers sur l'impact et le coût que représente ce nouveau règlement.
Le nouveau Règlement européen sur la protection des données personnelles (REDP), publié le 4 mai au Journal officiel de l'Union européenne, accorde aux personnes physiques une douzaine de droits relatifs à leurs données personnelles, contre trois dans l'actuelle loi française « Informatique et libertés ».
Par exemple, le consentement des personnes à ce que leurs données personnelles soient traitées devient obligatoire et ne peut plus être implicite ou général. De plus, il doit maintenant être documenté et tracé. À l'autre bout de la chaîne, le « droit à l'oubli » est désormais prévu de manière explicite.
Règle et exceptions
La règle, c'est que toute violation de ces droits doit être communiquée, à la fois à la CNIL et au(x) propriétaire(s) des données. En cas de manquement, les sanctions encourues grimpent jusqu'à 20 millions d'euros d'amende ou encore 4 % du chiffre d'affaires annuel mondial de l'entreprise.
Le responsable de cette communication, effectuée par l'entreprise, doit être un DPO – pour data protection officer -, un juriste informaticien et non plus un « correspondant informatique et libertés » comme c'était le cas depuis 2004.
Mais le texte européen prévoit une série d'exceptions. Il n'est par exemple pas besoin de communiquer sur d'éventuelles violations « si le responsable de traitement (le DPO donc) a mis en œuvre les mesures de protection techniques et organisationnelles appropriées, (...) telles que le chiffrement ». Par ailleurs, si cette information directe à la CNIL et aux personnes physiques « exigerait des efforts disproportionnés, il est plutôt procédé à une communication publique ».
Compte à rebours
Ce règlement européen a été publié au Journal officiel de l'Union européenne le 4 mai. Il entrera en vigueur 20 jours après, soit le 24 mai 2016, mais avec un délai de 2 ans.
Il s'impose aux États membres sans le passage d'une loi et est donc applicable « immédiatement » (au plus tard le 24 mai 2018 donc). Il remplacera totalement la loi « Informatique et libertés » de 2004.
Il représente une harmonisation des différents textes nationaux et s'appliquera à toute entreprise collectant et traitant des données personnelles de personnes physiques situées dans l'Union européenne, sans question de nationalité. Il s'applique donc aussi aux entreprises basées à l'étranger, comme aux États-Unis, régulièrement dénoncées par la CNIL.
