Dernière actualité : Mes data sont à moi : Pour une patrimonialité des données personnelles
[Lire la suite]
 BREF

2018-02-09 - RGPD : Les lignes directrices de la Commission

« Une meilleure protection et de nouvelles perspectives - Orientations de la Commission relatives à l’application directe du règlement général sur la protection des données à partir du 25 mai 2018 »

Le 25 mai 2018, le Règlement Général sur la protection des données personnelles entrera en vigueur. Le 24 janvier dernier, la Commission européenne a publié des orientations relatives aux nouvelles règles en matière de protection des données visant à faciliter l’application des ces nouvelles dispositions. Elle a également mis en ligne un nouvel outil destiné aux PME.

Comme tout règlement européen, ses dispositions sont directement applicables dans tous les États membres, mais certains aspects nécessitent l’adoption de mesures nationales, dont notamment la mise en place du Comité européen de la protection des données par les autorités de protection des données.

Les principaux apports du RGDP

Le règlement n’a pas modifié de manière substantielle les concepts et les principes fondamentaux de la législation sur la protection des données mise en place en 1995, mais les a renforcés et a introduit des droits nouveaux pour les personnes, tels que le droit à l’oubli, le droit à la portabilité des données. Un principe de minimisation des données complète le principe de finalité de la collecte et du traitement. Cette approche risque de réduire l’innovation, dès lors qu’elle s’inscrit en opposition avec la logique du Big Data.

Le règlement introduit un principe de responsabilité pour les opérateurs dont l’activité principale est le traitement de données et/ou le traitement de données sensibles, et pour ceux qui effectuent un suivi régulier et systématique des personnes physiques à grande échelle. Ces opérateurs devront nommer un délégué à la protection des données, procéder à une analyse d’impact relative à la protection des données, et adopter des mesures techniques et organisationnelles dès la conception (« privacy by design ») ou par défaut. Ils devront prouver qu’ils se sont conformés aux dispositions du RGDP et notifier les violations de données s’il existe un risque pour les droits et libertés des personnes physiques. Par ailleurs, ces entreprises établies dans un État tiers, seront également soumises à cette nouvelle réglementation, dès lors que leurs offres de services sont orientées vers le marché unique et qui collectent des données personnelles des ressortissants européens. En revanche, les opérateurs, en particulier les PME, dont l’activité principale ne comprend pas de traitement à haut risque ne seront normalement pas soumis à ces obligations spécifiques du règlement. Chaque secteur doit définir les modalités appropriées à sa spécificité et adaptées à son modèle commercial.

Le changement réside également dans la sanction. Les autorités nationales pourront imposer des amendes pouvant aller jusqu’à 20 millions d’euros ou dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial. Le montant le plus élevé sera retenu.

Les actions de la Commission

La Commission consacre 1,7 million d\'euros au financement des autorités de protection des données ainsi qu\'à la formation de professionnels de la protection des données. Une enveloppe supplémentaire de 2 millions d\'euros est à la disposition des autorités nationales pour les aider à sensibiliser les entreprises, les PME en particulier.

La Commission a mis en ligne un outil pratique, qui cible essentiellement trois publics: les citoyens, les entreprises (en particulier les PME) et d’autres organisations, et les administrations publiques. Il comprend des questions et des réponses et des liens vers diverses sources d’information. Cet outil sera régulièrement mis à jour.

La Commission a organisé plusieurs événements à l’intention des parties prenantes. Un nouvel atelier ciblant les consommateurs est prévu au premier trimestre de 2018. Des discussions sectorielles spécifiques dans des domaines tels que la recherche et les services financiers ont également eu lieu.

À compter de mai 2018, elle surveillera la manière dont ils appliquent les nouvelles règles et prendra les mesures appropriées, le cas échéant. Un an après l\'entrée en vigueur du règlement (2019), la Commission organisera un événement pour dresser le bilan de l\'expérience des différentes parties prenantes en ce qui concerne sa mise en œuvre. Cet élément figurera également dans le rapport sur l\'évaluation et le réexamen du règlement que la Commission est tenue d\'élaborer pour le mois de mai 2020.

Réf : Communication de la Commission : « Une meilleure protection et de nouvelles perspectives - Orientations de la Commission relatives à l’application directe du règlement général sur la protection des données à partir du 25 mai 2018 », COM (2018) 43 final : du 24.01.2018

Mentions légales | Réalisation site : Opium Bleu