Que se cache-t-il derrière la GDPR ?

Par Océane Lauro, le 10 février 2017

Décryptage de la nouvelle réglementation européenne de la protection des données à caractère personnel par Sandrine Cullaffroz-Jover, avocate spécialisée dans les pratiques de propriété intellectuelle, le droit des nouvelles technologies et de la sécurité des systèmes d’information.

Tout d’abord, qu’est-ce qu’une donnée à caractère personnel ?
C’est une information relative à une personne physique identifiée ou identifiable. Une donnée personnelle peut être de plusieurs natures : elle peut être directement liée à la personne comme son nom ou son numéro de téléphone ou indirectement tel que son numéro d’immatriculation professionnel. Enfin ce peut être une référence à plusieurs caractéristiques qui sont propres à l’individu en question. Il pourrait s’agir par exemple d’une description physique de l’individu. Le champ derrière l’expression « donnée à caractère personnel » est donc très large.

Quel est le périmètre et les enjeux du Règlement général sur la protection des données personnelles ?
Le Règlement général sur la protection des données personnelles (GDPR) a été définitivement adopté en avril 2016 par la Commission européenne et répond à une nécessité d’adapter le droit à l’évolution du monde numérique puisque la matière est encore régie par une directive datant de 1995. Le cadre juridique se faisait donc vieillissant et moins en adéquation avec l’activité des acteurs économiques. Cette nouvelle réglementation, que tous les états européens devront respecter, implique une mise en conformité pour mai 2018.

 

 

Néanmoins, le sujet de la protection n’est pas nouveau, surtout en France où nous y sommes culturellement très attachés. Ce nouveau règlement permettra d’aller plus loin dans l’affirmation de cette valeur culturelle mais cette fois à l’échelle de l’Europe. En effet, le règlement offre un cadre légal uniforme dans tous les pays membres, ce qui évitera les disparités qui peuvent résulter des lois de transposition nationales.
Le champ d’application du règlement est également très large puisqu’il s’applique aux traitements mis en œuvre à la fois par les entreprises établies dans un état membre et par les entreprises qui collectent des données situées sur le territoire européen, bien que non établies en Europe. Ce qui est particulièrement intéressant c’est qu’on retient bien un critère de localisation de la donnée et non de nationalité de la personne concernée. Ce nouveau champ d’application permet également de réguler les pratiques d’entreprises étrangères, qui sans ouvrir d’établissement sur le territoire de l’Union, ciblent pourtant un marché européen.
La loi prévoit également d’accroître la responsabilité des responsables de traitement de données personnelles et de renforcer les sanctions financières encourues. L’amende pourra ainsi porter jusqu’à 4% du chiffre d’affaires annuel mondial de l’organisation en situation de manquement caractérisé à la réglementation.

Concrètement, quels sont les impacts pour les entreprises et les organisations ?
Avant tout, il me semble qu’il faut avoir une approche win-win de cette réglementation. Bien entendu, le nouveau cadre réglementaire suppose des contraintes plus importantes pour les entreprises avec notamment un parcours de mise en conformité plus rigide pour les responsables de traitement, mais également pour les sous-traitants. Elle pousse à se questionner sur un certain nombre de process et d’usages : Quelle est la nature des données que je collecte ? Quel est leur niveau de protection et d’accessibilité ? Où sont-elles localisées et qui a le droit de les consulter ? Quel est leur cycle de vie ? Comment sont-elles gérées dans le temps ? Est-ce que les politiques de conservation et de destruction sont bien en cohérence avec ce qui est exigé ? Est-ce que des études d'impact sont mises en œuvre pour les traitements les plus sensibles ?... Cela va demander sans nul doute un audit des systèmes et des process, mais il ne faut pas oublier d’inclure dans cette réflexion ce que les entreprises ont à y gagner, car elles ont beaucoup à y gagner aussi ! Typiquement la mise en conformité va leur permettre de faire le ménage dans l’amas de données qu’elles ont collectées depuis plusieurs années et de travailler sur des solutions innovantes. Même le principe de minimisation énoncé dans le règlement peut présenter l’opportunité d’une collecte d’informations plus rationnelle et qualitative. Tout cela participe à la constitution et à la valorisation durable des actifs. Par ailleurs, c’est une occasion supplémentaire de mieux gérer sa sécurité via la mise en place de nouveaux outils. Enfin, on peut également y voir un bénéfice au niveau organisationnel car il faudra sensibiliser l’ensemble des parties prenantes de l’entreprise et mettre en place de nouvelles procédures. Une opportunité de plus de rationnaliser et fluidifier les échanges et processus !
En somme, la GDPR est un vecteur de gouvernance et va permettre plus de transparence. On ne pourra plus isoler le juridique du technique. Cela va demander une stratégie d’approche plus globale et donc plus cohérente. 

Pour aller plus loin