Carole ULMER
Directrice des études, Confrontations Europe
Dans moins d’un an, la réforme de la protection des données personnelles s’appliquera partout en Europe. Avec quel impact sur notre quotidien ? Les réponses de Carole Ulmer, interviewée par Toute l’Europe.
Les données personnelles seront bientôt mieux protégées en Europe : quelles sont les principales innovations de cette réforme ?
Adopté le 14 avril 2015, le règlement général sur la protection des données (RGPD), qui réactualise une directive européenne de 1995, sera applicable sans transposition à partir du 25 mai 2018. L’esprit du texte est clair : il s’agit de donner une vision commune de la protection des données personnelles en Europe et de renforcer le droit des individus sur leurs données.
Le règlement est l’occasion de clarifier les mesures que doivent prendre les entreprises : celles qui détiennent des données à caractère personnel sur des citoyens de l’UE doivent mettre en œuvre une nouvelle organisation et des méthodes afin d’assurer un niveau suffisant de protection, dès la conception des produits ou service et par défaut (« privacy by design and by default »). En clair, elles doivent tenir un registre décrivant les données stockées, leurs usages et la durée de leur exploitation.
Une telle organisation du traitement des données conduira les entreprises à désigner des acteurs de la bonne gouvernance des données dans leurs structures, voire de nommer un Data Privacy Officer (DPO). Elles seront tenues de reporter à leur autorité de contrôle nationale toutes les violations graves de données. En cas de non-respect de ces mesures, des amendes uniformes élevées sont prévues pouvant aller jusqu’à 4% du chiffre d’affaires.
Quel impact la réforme aura-t-elle sur le quotidien des citoyens européens ?
Elle permet aux citoyens européens de reprendre la main sur leurs données personnelles, notamment vis-à-vis des acteurs économiques de l’Internet. Il renforce leurs droits et facilite l’exercice de ceux-ci.
Le règlement impose de fournir une information claire et accessible aux utilisateurs sur le traitement de leurs données. Les utilisateurs devront donner leur accord pour le traitement de leurs données (principe de consentement) ou pouvoir s’y opposer.
Ce texte consacre également le droit à l’oubli, ainsi que le droit à la portabilité de ses données : ce principe permet à tout citoyen de récupérer les données qu’il a fourni sous un format simple, afin, le cas échéant, de pouvoir les transférer à un tiers.
En pratique, le règlement s’appliquera chaque fois qu’un résident européen sera concerné par le traitement de ses données, y compris par des entreprises qui ne sont pas européennes.
En quoi la protection encore en vigueur est-elle insuffisante ?
L’ampleur et le volume d’informations stockées en ligne a considérablement augmenté en 20 ans : il était urgent de redéfinir les règles du jeu pour tous ! Le texte de 1995 reposait sur une logique de « formalités préalables » et d’autorisations. Aujourd’hui, le règlement repose sur une logique de conformité et de responsabilité des acteurs eux-mêmes – responsabilité qui s’étend également aux sous-traitants.
La CNIL a appelé entreprises et pouvoirs publics à anticiper dès aujourd’hui cette réforme : l’application du nouveau règlement pose-t-elle des difficultés ?
Le Règlement impose des transformations profondes notamment pour les entreprises et il est urgent qu’elles mettent en œuvre les mesures nécessaires à la mise en conformité, sous peine de subir de lourdes sanctions financières, mais aussi de subir des impacts négatifs en termes d’image de marque.
Pour accompagner les acteurs économiques, les pouvoirs publics ont mis en place un ensemble d’outils. C’est notamment le cas de la CNIL qui a publié une méthodologie en 6 étapes.
Un vaste chantier ! Notamment pour les PME. Il est à noter que la Commission européenne a prêté attention à ces dernières en leur proposant des assouplissements, mais il n’en demeure pas moins qu’un certain nombre de conditions doivent être remplies. Pour les grands groupes, l’un des risques identifiés est aussi l’effet « usine à gaz » que peut produire une telle réglementation. Pragmatisme et agilité doivent dominer et il est indispensable de penser la mise en conformité à ce règlement en parallèle des dispositifs de sécurité qui sont nécessaires à un moment où les cyberattaques ne font que croître.
Où la France se situe-t-elle dans le processus de cette réforme ?
En début d’année, le Medef affirmait que seules 10 % des entreprises françaises estimaient pouvoir parvenir à respecter cette échéance. Si la CNIL a reconnu que « la marche à monter était réelle », elle n’en maintenait pas moins la pression.
Selon diverses enquêtes (cabinet Vanson Bourne pour Veritas Technologies, Gartner), il ressort qu’environ la moitié des entreprises européennes concernées pensent ne pas être prêtes en mai 2018. Certains pays, comme l’Allemagne, et certains métiers, tels que la banque ou l’assurance, avancent plus vite que d’autres.
La France semble plus en retard. Selon une enquête réalisée par Umanis, seules 31% des entreprises françaises sondées pensent être prêtes, alors que 23% estiment l’échéance impossible et 46% ne savent pas. Il reste encore du travail.
D’autres projets européens visant à renforcer la protection des données sont-ils en cours ?
Le numérique en général – et la question des données en particulier – est une priorité pour la Commission européenne. En janvier, elle a proposé une modification de la directive eprivacy. En mai, lors de la présentation de son évaluation du marché unique numérique, elle a déclaré avoir l’intention de présenter un texte sur la libre circulation des données non personnelles à l’automne.
Vous pouvez retrouver cet article à l’adresse suivante : http://www.touteleurope.eu/actualite/donnees-personnelles-ce-qui-va-changer-en-2018.html
Propos recueillis par Vincent Lequeux