Adopté le 14 avril 2016, le règlement européen sur la protection des données (RGDP) entrera en application le 25 mai 2018. Ce texte, dont l’objectif est de définir un cadre juridique européen plus adapté à l’univers numérique, va entraîner une évolution substantielle de la réglementation nationale jusque-là applicable.
Une nouvelle culture pour les entreprises
Ce texte inaugure un changement d’approche en passant d’un principe de déclaration préalable et de demande d’autorisation à une logique de responsabilisation des entreprises et de leurs éventuels sous-traitants (hébergeur cloud, par exemple). C’est ainsi aux entreprises que reviendra, par défaut, l’obligation de mettre en œuvre les moyens et les processus nécessaires pour garantir une protection optimale des données personnelles stockées. En outre, afin de permettre l’exercice du droit à l’information des personnes et de faciliter les contrôles de la Cnil, les entreprises administrant des fichiers de données personnelles seront dans l’obligation de tenir un registre. Elles devront également, dans l’hypothèse où elles envisageraient de mettre en œuvre des traitements dits à risque (recueil de données ethniques, politiques, d’orientation sexuelle…), mener, de manière préalable, une étude d’impact sur la vie privée. Enfin, les entreprises devront notifier à la Cnil et aux personnes « fichées » les failles de sécurité rencontrées lors de la gestion du fichier. Dans certains cas, elles devront se doter d’un délégué à la protection des données qui sera chargé de la bonne application de la réglementation au sein de l’entreprise (rôle actuellement joué par le correspondant informatique et libertés, le Cil).
L’aide de la Cnil
Le règlement ne renforce pas que les obligations qui pèsent sur les gestionnaires de fichiers. Il prévoit également un durcissement des sanctions. Ainsi, en cas de manquement grave, une amende correspondant à 4 % du chiffre d’affaires réalisé par l’entreprise incriminée pourra être appliquée. Intégrer sans retard dans son fonctionnement ces nouvelles contraintes pour éviter de se mettre en faute, une fois le texte applicable, en mai 2018, est donc fortement conseillé à toutes les entreprises, et notamment aux e-commerçants en première ligne sur ce dossier. La Cnil annonce d’ailleurs, , mettre en place un véritable dispositif destiné à accompagner les entreprises dans leur démarche de mise en conformité. Ce dispositif doit comprendre des supports d’information sur la nouvelle réglementation, des méthodes pour préparer sa mise en conformité, des outils dédiés, notamment à l’élaboration des études d’impact sur la vie privée et enfin, une permanence juridique destinée aux Cil.