Le règlement européen sur la protection des données personnelles (RGPD) s’applique le 25 mai 2018 dans les 28 pays de l’Union européenne, conférant davantage de protection pour les citoyens tout en imposant plus de responsabilités à ceux qui collectent, stockent, échangent ou transfèrent des données personnelles.

Toutes les entreprises sont désormais redevables d’une obligation de mise en conformité, sous peine de sanctions pouvant aller jusqu’à 4% de leur chiffre d’affaires annuel.

Tout organisme ou entreprise qui remplit l’un des cas visés par l’article 37.1 du Règlement général sur la protection des données (RGPD) est tenu de désigner un délégué à la protection des données (DPO) à partir du 28 mai 2018.

Cette obligation s’applique quelle que soit la taille de l’organisme ou de l’entreprise.

Le seuil de 250 salariés, initialement prévu dans la proposition de règlement du 25 janvier 2012, a finalement été abandonné en cours de discussion (notamment à la suite de la position du Conseil de l’Union européenne en première lecture et initiale du 8 avril 2016).

1- Qu’est ce que le RGPD ?

Le règlement général sur la protection des données (RGPD), à savoir le règlement no 2016/679, émanant des instances européennes, est le texte de référence européen en matière de protection des données à caractère personnel.

Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne.

Après quatre années de négociations législatives, ce nouveau règlement européen sur la protection des données a été définitivement adopté par le Parlement européen le 14 avril 2016.

Il entrera en vigueur dans son ensemble dans les 28 États membres de l’Union européenne à compter du 25 mai 2018 et ce directement sans transposition de directive via une Loi en France.

Ce règlement remplace la directive sur la protection des données personnelles adoptée en 1995 (article 94(1) du règlement).

2- Quelles obligations et changements pour les entreprises et services RH ?

2.1. Toute entreprise qui conserve des données est concernée.

2.1.1. Un cadre harmonisé :

Il y a désormais un seul ensemble de règles relatives à la protection des données, directement applicable dans tous les États membres de l’Union Européenne, atténuant ainsi la fragmentation actuelle des lois nationales de protection des données.

2.2.2. Une application extra-territoriale :

Le règlement s’applique aux entreprises établies en dehors de l’Union européenne qui traitent les données relatives aux activités des organisations de l’UE.

Les sociétés non-européennes sont également soumises au règlement dès qu’elles ciblent les résidents de l’UE par le profilage ou proposent des biens et services à des résidents européens (article 3 du règlement).

2.2. Les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données privées.

2.2.1. La personne dont on conserve « ses données » a  des droits renforcés

L‘entreprise doit donc pouvoir fournir la preuve du consentement  « explicite  et positif »  de la personne dont elle conserve les données  

Ainsi, dans la même logique, il est consacré le droit à l’effacement  : La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais pour 6 motifs (article 17).

De même, il est consacré le droit à la portabilité des données personnelles : Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement.

Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible (article 20).

Enfin, a été posé comme un principe, le « Profilage » : Toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire (article 22 du règlement).

2.2.2. De nouvelles obligations pour les entreprises qui vont devoir sécuriser les « données numérisées collectées »

Le principe posé dans le règlement est la « protection des données dès la conception  et de sécurité par défaut »

Le règlement européen définit le principe de « protection des données dès la conception » qui impose aux organisations de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnel.

De plus, le règlement consacre la nouvelle règle de la « sécurité par défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé (article 25 du règlement).

En outre, les entreprises et les organismes sont tenus de notifier dès que possible l’autorité nationale de protection en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées (article 33 du règlement).

Les entreprises devront donc disposer d’un système d’alerte ou de notifications en cas de fuite de données .

Enfin, il a été consacré le principe de la nomination obligatoire d’un délégué à la protection des données (Data Protection Officer en anglais). Cette nomination est obligatoire du « DPO » lorsque :

  •  le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle » (article 37)
  • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (art. 37-1-b)
  • les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 du règlement et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 du règlement (art. 37). Sont ainsi visées les données « sensibles » dont notamment celles relatives à l’état de santé des personnes, leur état de fragilité, ou encore les données à caractère personnel relatives aux infractions et condamnations.

Le délégué à la protection des données (DPO) doit être associé à toutes les questions de protection des données à caractère personnel.

Ses principales missions sont de contrôler le respect du règlement, de conseiller le responsable des traitements sur son application et de faire office de point de contact avec l’autorité de contrôle, de répondre aux sollicitations de personnes qui souhaitent exercer leurs droits.

Toutes les activités qui peuvent avoir des conséquences importantes en matière de protection de données personnelles doivent être précédées d’une étude d’impact sur la vie privée qui doit aussi prévoir les mesures pour diminuer les conséquences possibles des dommages potentiels relatifs la protection des données personnelles. Le délégué à la protection des données doit consulter l’autorité de contrôle avant de mettre en œuvre les activités en question (article 35 du Règlement).

3. Des sanctions importantes en cas de non respect de ces nouvelles normes :

Le règlement donne aux régulateurs le pouvoir d’infliger des sanctions financières allant jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu, en cas de non-respect (article 83(6) du règlement).

Dans cette optique a été créé le  Comité européen de la protection des données (« European Data Protection Board »)  qui a autorité dans tout ce qui concerne l’interprétation du Règlement (articles 68 et suivants du règlement).

Les entreprises sont donc invitées également à élaborer un  code de conduite destiné à contribuer à la bonne application du présent règlement  (article 40 du règlement.)

Telles sont nos observations .

Article rédigé par :

Avocat spécialisé en Droit Social, titulaire des spécialités suivantes :
° Droit du Travail
°Droit de la sécurité et protection sociale