Extrait de La Semaine Juridique – Entreprise et Affaires N°22, 2 Juin 2016
ÉTUDE DOSSIER
1323
En marche vers le Marché unique numérique !
Adoption du Règlement général sur la protection des données n° 2016/679, du 27 avril 2016
Adopté le 27 avril dernier et publié au Journal officiel de l’Union européenne le 4 mai 2016, le Règlement général sur la protection des données (ci-après « le Règlement » ou « RGDP ») est un texte historique. Avant de donner un aperçu des principaux impacts que va entraîner ce texte, dont le champ d’application est très large, revenons brièvement sur l’historique ayant conduit à son adoption. Ce texte, qui s’appliquera à tous les traitements existants, nécessite de se lancer dès à présent dans le chantier de la mise en conformité. Une nécessité d’autant plus impérieuse que les sanctions sont significativement alourdies.
Pourquoi une nouvelle réglementation ?. – Avec la loi du 6 janvier 19781 (dite informatique et libertés), votée à l’ère de la première génération d’ordinateurs, la France s’est dotée d’un cadre juridique qui devait principalement garantir les droits des citoyens à l’égard des administrations qui s’informatisaient. Ce texte, qui n’était pas conçu pour régir les traitements de données massifs réalisés par les entreprises à partir du début des années 2000, avait, malgré sa modification en 2004, vieilli et restait trop peu appliqué. Avec la révolution digitale, de nouvelles menaces sont apparues pour la vie privée des personnes. Une réponse européenne était devenue nécessaire, tant pour défendre les droits fondamentaux, que pour bâtir les fondements d’un Marché unique numérique. Le Règlement abroge la directive européenne 95/46 mais n’impose pas aux États membres d’abroger leur législation nationale. Ainsi, il n’est pas certain que la loi informatique et libertés sera abrogée, toutefois, en cas de dispositions divergentes, le Règlement primera. Tous concernés par le Règlement ! – Le nouveau Règlement s’applique à tout traitement de données à caractère personnel, automatisé ou non : il concerne donc la quasi-totalité des acteurs économiques (car qui ne manipule aucune donnée ?), y compris ceux situés à l’étranger dès lors qu’ils s’adressent à des personnes situées en Union Européenne. L’urgence de lancer le chantier de la mise en conformité pour les traitements existants. – Le Règlement entre en vigueur le 25 mai 2016 mais ne sera applicable que dans deux ans. Même s’il ne prévoit pas de régime transitoire, l’ensemble des traitements de données existants au jour de l’adoption du RGDP devront y être conformes. Par ailleurs, les impacts du Règlement, tant internes (tels que la désignation d’un délégué à la protection des données («DPO»)) qu’externes à l’entreprise (par exemple la nouvelle matrice de responsabilité des acteurs d’un traitement) conduiront à une réorganisation fondamentale des entreprises. Les actions à entreprendre seront donc nombreuses, et ce délai de deux ans n’est pas de trop, et ce d’autant que les sanctions, applicables en cas de non-conformité sont élevées. Pouvant désormais atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, l’amende administrative devient dissuasive. Au-delà même du risque de sanction, la conformité au Règlement est un facteur de différenciation sur le marché de demain où il est à prédire que les utilisateurs des services numériques ne partageront plus leurs données avec les opérateurs ayant mauvaise réputation en matière de protection des données.
Matthieu Bourgeois, Avocat associé, Simon Associés et Amira Bounedjoum, Avocat, Simon Associés
Télécharger l’intégralité du dossier au format PDF
LA SEMAINE JURIDIQUE – ENTREPRISE ET AFFAIRES – N° 22 – 2 JUIN 2016
L’hebdomadaire des juristes d’affaires.