Nombreux étaient les participants à la 5ème édition des Matinales de la Recherche de Toulouse Business School, concernés par la nouvelle législation européenne sur la protection des données.
Applicable à toutes les entreprises dont les activités ciblent le territoire européen, le règlement général pour la protection des données personnelles (RGPD) entrera en vigueur à partir du 25 mai 2018. Son objectif est de protéger les citoyens européens contre une utilisation malveillante de leurs données à caractère personnel. Gregory Voss, Juris Doctor et enseignant-chercheur à TBS et Maître Stanley Claisse, avocat spécialiste en droit de la propriété intellectuelle, droit de l’informatique et des télécommunications, ont fait le point sur cette nouvelle réglementation : plus uniforme, plus responsabilisant, plus vertueuse.
Une évolution réglementaire nécessaire
Big Data, stockage biométrique… De nombreuses évolutions technologiques sont intervenues depuis la directive européenne de 1995 qui régit actuellement la protection des données en Europe. La législation n’est plus adaptée mais surtout elle présente d’importantes disparités entre les états membres qui ont transposé la directive avec des différences. L’harmonisation de la réglementation constitue donc un objectif de la réforme. Autre ambition du nouveau règlement : alléger le fardeau administratif et le coût engendrés par les formalités de déclaration préalable dont doit s’acquitter toute entreprise traitant des données personnelles.
Enfin, si le niveau de protection des données personnelles en Europe est globalement satisfaisant, les sanctions financières prévues par la directive à l’encontre de contrevenants demeuraient très faibles dans certains états, comme la France.
C’est dans ce contexte et à l’issue d’un long processus que l’Union européenne a adopté le nouveau règlement général pour la protection des données personnelles (RGPD). Il sera applicable à partir du 25 mai 2018. Une étape pour l’établissement du marché numérique européen Le choix de légiférer via la forme du règlement n’est pas anodin. A la différence de la directive, les règlements européens ne nécessitent pas de transposition dans les Etats membres. Le règlement européen général pour la protection des données personnelles permet donc une harmonisation quasi-parfaite de la législation dans les 28 Etats membres. Son champ d’application concerne toutes les entreprises, quelle que soit leur taille qu’elles aient, ou non, leur siège dans l’Union européenne. Ainsi, les entreprises transnationales dont les activités ciblent le territoire européen tombent désormais sous le coup de la réforme.
“ On parle d’effet extraterritorial du nouveau règlement européen. Il inclut les cas classiques d’entreprises qui traitent des données à caractère personnel dans l’union européenne ou y ayant un siège social, mais aussi les entreprises hors de ce territoire dont les activités ciblent les personnes sur le territoire de l’union européenne. Qu’il s’agisse de la fourniture de produits et de services ou du suivi du comportement dans l’union européenne qui visent ces personnes. ” Grégory Voss, Juris Doctor et enseignant-chercheur à TBS
Une réglementation responsabilisante pour les entreprises
La philosophie du nouveau règlement général pour la protection des données personnelles est résolument tournée vers la responsabilisation des entreprises. Cette volonté se traduit, d’une part, par l’obligation faite aux entreprises de démontrer à tout moment qu’elles sont en conformité avec la législation. Cette obligation va engendrer une modification dans la gouvernance des entreprises qui devront recruter des profils adaptés. Ces « délégués à la protection des données à caractère personnel » auront pour mission de cartographier les traitements de données personnelles mis en œuvre par l’entreprise et d’assurer leur conformité à la réglementation. On estime à 75 000 postes le gisement mondial d’emplois dans ce domaine.
L’objectif de responsabilisation des entreprises s’exprime, d’autre part, à travers l’obligation, pour toutes les entreprises, et pas seulement les fournisseurs de services de communications électroniques, de déclarer, aux personnes ciblées par le traitement des données, toute attaque ou piratage subis par leur base de données. Sauf exception prévue dans le règlement, elles doivent informer les personnes physiques de la potentielle corruption de leurs données personnelles, dès lors que la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Cette obligation d’information exposera l’entreprise, de façon prévisible, à la multiplication des actions collectives ou des demandes de réparation de préjudice.
En cas de manquement à ses obligations, l’entreprise s’expose à de lourdes sanctions financières, lesquelles ont été considérablement renforcées puisqu’elles peuvent atteindre 4% de leur chiffre d’affaires mondial pour certaines violations dans le cas d’une entreprise. Plus responsabilisant, ce dispositif se substitue à la déclaration préalable que doit aujourd’hui effectuer toute entreprise traitant des informations à caractère personnel. Vers une amélioration du niveau de sécurité global des entreprises Si l’objectif de cette nouvelle réglementation est, au premier chef, de minimiser les risques de violations des données personnelles et les préjudices subséquents, son effet sera bénéfique sur le niveau de sécurité des entreprises. Pour protéger les données personnelles qu’elles traitent, les entreprises devront mettre en place des outils de sécurité informatique, de chiffrement, de contrôle d’accès… Si elles ont recours à des sous-traitants, elles devront s’assurer qu’ils sont en conformité avec leurs exigences de sécurité. Ces obligations renforcées devraient contribuer à l’amélioration globale du niveau de sécurité des systèmes d’information et avoir un effet préventif sur la cybercriminalité. En revanche, cette amélioration ne sera pas immédiate dans toutes les entreprises :
“ Si les grandes entreprises se sont préparées à ce changement réglementaire, les petites et moyennes entreprises vont mettre plus de temps à s’adapter. Espérer qu’elles seront en conformité dans les 6 mois est largement illusoire. Ce sera un travail de longue haleine qui de plus nécessitera de la régularité dans la vérification de la conformité des données. ” Stanley Claisse, avocat au barreau de Toulouse, spécialiste en droit de la propriété intellectuelle, droit de l’informatique et des télécommunications.
Gregory Voss est Juris Doctor et enseignant-chercheur à Toulouse Business School. Ses recherches portent essentiellement sur la question de la protection des données personnelles et le droit de l’internet. Il a publié de très nombreux articles et ouvrages sur ce thème. Son article « Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation » vient d’être publié dans la Revue juridique Thémis de l’Université de Montréal et beaucoup de ses articles de recherche sont accessibles depuis http://ssrn.com/author=1740804 et http://tbs-education.academia.edu/WGregoryVoss
Maitre Stanley Claisse est avocat inscrit au barreau de Toulouse, conférencier et formateur. Il est spécialisé en droit de la propriété intellectuelle, droit de l’informatique et des télécommunications. Il est également ingénieur en informatique.