La publication par la Commission européenne de nouvelles lignes directrices relatives au règlement général sur la protection des données (RGPD)
Souhaitant renforcer la sensibilisation et l’accompagnement des PME dans le cadre de leur processus de mise en conformité avec le RGPD, la Commission européenne a publié, le 24 janvier 2018, une communication énonçant plusieurs lignes directrices sur le sujet (communication COM(2018)43 final).
Celles-ci reprennent les éléments les plus saillants du RGPD : des règles existantes renforcées et des règles nouvelles aux standards élevés. Elles traitent notamment du champ d’application du RGPD, qui touche des entreprises situées en dehors du territoire de l’Union européenne. Elles mettent également en avant, d’une part, le renforcement des droits existants des citoyens concernés par le traitement, tels que le droit à l’oubli et, d’autre part, la consécration de droits nouveaux tel que le droit à la portabilité des données, fer de lance de la démocratisation de l’utilisation des données personnelles par leurs propriétaires respectifs.
La protection des données des citoyens européens est au cœur de ces lignes directrices qui insistent sur les obligations de sécurité en matière de lutte contre les violations de données.
Enfin, elles abordent le sujet des règles contraignantes et des amendes dissuasives pouvant être prononcées par les autorités nationales de contrôle dans chaque Etat membre. L’importance du montant de ces amendes, pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial, constitue un tournant sans précédent dans le domaine de la protection des données personnelles.
Les lignes directrices décrivent aussi les travaux préparatoires réalisés à ce jour par la Commission européenne et le groupe de travail G29. Elles énoncent en particulier les dernières étapes à achever:
- les Etats membres doivent terminer d’adapter le cadre juridique national et fournir des ressources financières et humaines nécessaires aux autorités nationales de protection des données ; et
- les autorités nationales de protection des données doivent veiller à ce que le nouveau Comité européen de la protection des données soit pleinement opérationnel et sensibiliser les parties prenantes au RGPD (citoyens et PME en particulier) par le biais d’actions d’information.
En outre, un nouvel outil publié en ligne, sous forme de foire aux questions, vise à aider les entreprises, les organisations et les citoyens.
Le RGPD s’appliquera aux entreprises à partir du 25 mai 2018, c’est-à-dire dans moins de deux mois.
La Commission précise que la surveillance de la mise en œuvre du RGPD et de ses principes commencera dès cette date. Un premier bilan du RGPD sera dressé un an plus tard avec l’ensemble des parties prenantes afin de décider des orientations à prendre pour la réalisation d’un rapport d’évaluation et de réexamen du dispositif prévu pour le mois de mai 2020.
Auteurs
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Benjamin Benezeth, juriste, droit des contrats et protection des données personnelles