En 2012, la Commission européenne a proposé une réforme globale des règles adoptées en 1995 par l'Union Européenne en matière de protection des données personnelles, afin de renforcer les droits en matière de respect de la vie privée dans l'environnement en ligne.

Le texte final a été adopté le 27 avril 2016 (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données dit « RGPD »).

Contrairement à une directive, le texte, en vigueur à partir du 25 mai 2018, sera d’applicabilité directe à cette date, sans nécessiter de transposition de chaque Etat membre.

Les trois objectifs principaux de cette réforme sont les suivants :

« 1. Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;

2. Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;

3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées ».

Ce nouveau règlement s’appliquera à toutes les entreprises, associations, collectivités locales et administrations qui collectent, traitent et stockent des données personnelles, dont l’utilisation peut directement ou indirectement identifier une personne. Seront ainsi concernées les informations des salariés, partenaires, clients et prospects.

Le règlement repose sur le droit fondamental inaliénable que constitue, pour chaque citoyen, la protection de sa vie privée et de ses données personnelles.

Les principaux changements du règlement vis-à-vis du texte précité de 1995 sont les suivants :

• Un champ d’application étendu : dès lors qu’un responsable de traitement ou un sous-traitant est établi sur le territoire de l’union Européenne, ou que ces derniers mettent en œuvre des traitement visant à fournir des biens et des services aux résidents européens, le règlement aura vocation à s’appliquer ; ce règlement s’appliquera donc chaque fois qu’un résident européen sera visé par un traitement de données. Dans l’hypothèse d’un traitement transnational (c'est-à-dire concernant les citoyens de plusieurs Etats membres), les autorités de protection des données des Etats concernés seront compétentes pour s’assurer de la conformité des traitements de données mis en œuvre. Enfin, les responsables de traitement et les sous-traitants peuvent transférer des données hors de l’Union Européenne seulement s’ils encadrent ces transferts avec des outils assurant un niveau de protection suffisant et appropriés des personnes (article 44).

• La responsabilisation de l’ensemble des acteurs des traitements : les responsables de traitements et les sous-traitants doivent mettre en place des mesures de protection des données appropriées, mesures techniques et organisationnelles, et démontrer cette conformité à tout moment (article 24). Les sous-traitants ont donc désormais une responsabilité jusqu’alors cantonnée aux responsables de traitement seulement, et doivent présenter « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » ; par ailleurs, les sous traitants ne peuvent pas recruter un autre sous-traitant sans l’autorisation écrite du responsable de traitement (article 28 alinéa 2) ;

• Un pouvoir de sanction des autorités nationales inédit : les responsables de traitement et les sous-traitants pourront faire l’objet de graves sanctions en cas de méconnaissance des dispositions du règlement. En effet, les autorités de protection pourront notamment : Prononcer un avertissement ;

1. Mettre en demeure l’entreprise ;

2. Limiter temporairement ou définitivement un traitement ;

3. Suspendre les flux de données ;

4. Ordonner de satisfaire aux demandes d'exercice des droits des personnes ;

5. Ordonner la rectification,

6. La limitation ou l'effacement des données. S’agissant des amendes administratives, celles-ci seront fixées, dans chaque cas, en fonction de la situation spécifique, et notamment de la nature, de la gravité et de la durée de l’infraction ; elles pourront ainsi s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.Par ailleurs, toute personne ayant subi un dommage matériel ou moral du fait d'une violation du règlement aura le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi (article 82).

• Un recueil du consentement consolidé : le responsable du traitement doit toujours être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, compréhensible et accessible. La charge de la preuve du consentement incombera au responsable de traitement. De la même façon, il devra être aisé de retirer son consentement, à tout moment (article 7). S'agissant des enfants (c'est-à-dire les mineurs de 16 ans, « à moins que la loi n’ait abaissé cet âge, sans toutefois qu’il puisse être inférieur à 13 ans »), le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Il sera donc désormais nécessaire de solliciter l'autorisation des parents pour ouvrir un compte sur des réseaux sociaux (article 8) ;

• Désignation d’un délégué à la protection des données : le délégué est le responsable de la conformité en matière de protection des données au sein de son organisme. Le responsable du traitement et le sous-traitant doivent désigner un délégué à la protection des données dans les cas suivants : s’ils appartiennent au secteur public / si leurs activités principales les amènent à réaliser un suivi régulier et systématique à grande échelle des personnes / si leurs activités principales les amènent à traiter, à grande échelle, des données dites « sensibles » ou relatives à des condamnations pénales et à des infractions (article 37). Outre ces cas, la désignation d’un délégué à la protection des données sera toujours possible. Le délégué sera chargé, a minima, de :"

1. former et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données;

2. contrôler le respect du présent règlement, d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant;

3. dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35;

4. coopérer avec l'autorité de contrôle;

5. faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36, et mener des consultations, le cas échéant, sur tout autre sujet " (article 39) ;

• Le droit à la portabilité des données : le règlement confère à toute personne le droit de récupérer les données qu’elle a fournies, et de les transmettre d’un système de traitement automatisé à un autre, sans que le responsable du traitement ne puisse y faire obstacle (article 20). Le but en l’espèce étant de redonner aux personnes la maitrise de leurs données, et de rétablir un équilibre.

• Notification à l'autorité de contrôle d'une violation de données à caractère personnel : les entreprises devront désormais, dans un délai de 72 heures, notifier à l'autorité de contrôle nationale les violations graves de données à caractère personnel, telles que des piratages informatiques. L’information des personnes concernées est requise si cette violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (articles 33 et 34).

• Un droit à l’effacement renforcé (droit à l’oubli) : alors que la directive de 1995 ne prévoyait l’effacement des données que comme un corollaire du droit d’accès, l’article 17 du règlement prévoit que toute personne peut obtenir d’un responsable de traitement l’effacement, dans les meilleurs délais, de données personnelles la concernant dans les six cas suivants :

1. Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;

2. Le consentement était nécessaire lors de la collecte des données (ce qui vise les cas des données sensibles) ;

3. La personne exerce son droit d’opposition « ». Le responsable de traitement doit démontrer l’existence de motifs légitimes et impérieux pour s’y opposer. La personne exerce son droit d’opposition à tout moment dans les cas de prospection et de profilage lié à celle-ci ;

4. Les données ont fait l’objet d’un traitement illicite ;

5. Elles concernent un mineur ;

6. L’effacement est prévu par une obligation légale. Ce droit à l'effacement ne s'applique pas dans la mesure où ce traitement est, par exemple, nécessaire « à l'exercice du droit à la liberté d'expression et d'information » ou « pour respecter une obligation légale qui requiert le traitement prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement » ;

• La transparence des informations renforcée : désormais, toute information adressée à la personne concernée devra être fournie « d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant » (article 12) ;

• La possibilité pour certains organismes d’introduire une réclamation sans mandat : « tout organisme, organisation ou association […], indépendamment de tout mandat confié par une personne concernée, a, dans l'État membre en question, le droit d'introduire une réclamation auprès de l'autorité de contrôle qui est compétente en vertu de l'article 77, et d'exercer les droits visés aux articles 78 et 79 s'il considère que les droits d'une personne concernée prévus dans le présent règlement ont été violés du fait du traitement ». Les recours collectifs en matière de protection de données personnelles seront donc possibles (article 80).

Le règlement dans son intégralité est accessible à l’adresse URL suivante : http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679.