Avec la mise en place du RGPD, le législateur européen entend répondre à plusieurs objectifs. Il s’agit avant tout de créer un cadre législatif harmonisé et renforcé concernant la data protection, commun à l’ensemble des pays de l’Union européenne. Le Règlement européen sur la protection des données, entré en vigueur en mai 2018, tient ainsi compte des nouvelles évolutions technologiques telles que l’Intelligence Artificielle, les objets connectés et Big Data. Au coeur de ce nouveau dispositif légal : l’individu, qui voit ses droits renforcés avec plusieurs mesures, dont un nouveau droit à la portabilité et/ou l’effacement définitif de ses données.
Les acteurs du traitement de données ont davantage responsabilisés
Ainsi, sous l’impulsion du Règlement européen sur la protection des données, tous les acteurs de la chaîne de traitement de données se voient contraints de se responsabiliser davantage, avec de nouveaux devoirs. Du responsable de traitement aux fournisseurs de services, en passant par les sous-traitants, tous doivent désormais se conformer aux principes de “Privacy by design” et “d’accountability”, c’est-à-dire que chaque organisme doit adopter une politique de protection des données holistiques, dès la conception. Chaque processus de collecte de données à caractère personnel, qu’il soit déjà sur le marché ou bien prochainement lancé, doit désormais être en accord avec tout l’éventail d’exigences du RGPD.
De cette manière, chaque acteur, contraint de s’engager dans une démarche vertueuse de protection de la vie privée des utilisateurs, se retrouve ainsi responsabilisé. Et gare aux organismes qui n’appliqueraient pas les nouvelles exigences du Règlement européen sur la protection des données, la CNIL veille et les sanctions en cas de non-respect sont considérables. Avant l’entrée en vigueur du RGPD, la Commission nationale de l’informatique et des libertés ne pouvait appliquer une sanction supérieure à 150.000 euros. Désormais, elle peut infliger des amendes records, pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial, la sanction la plus élevée étant celle qui sera retenue. À bon entendeur…
Qui est concerné par le Règlement européen sur la protection des données ?
Avec l’application du RGPD, chaque citoyen résidant en Union Européenne peut désormais faire valoir ses droits et garanties auprès de toute entreprise qui collecte ses données, européenne ou non. L’enjeu est donc considérable, puisqu’il s’agit notamment de contraindre les géants américains et asiatiques aux mêmes règles que leurs concurrents européens, dès lors que les données personnelles d’un citoyen européen sont collectées.
Désormais, tous les acteurs de la collecte et du traitement de données sont concernés par le Règlement européen sur la protection des données : TPE/PME, banques, assurances, sociétés du CAC 40, SSII, fournisseurs de services SaaS, cybermarchands, exploitants de MarketPlace, éditeurs de dispositifs connectés ou d’applications mobiles… Il est à ce propos intéressant de constater que la data protection, qui auparavant reposait sur une logique de responsabilité verticale – à savoir un responsable de traitement des données qui à lui seul endossait la quasi-totalité des risques juridiques -, on passe désormais à une logique verticale, où chaque acteur, qu’il soit responsable ou sous-traitant, peut être inquiété de manière similaire en cas de non-respect du RGPD.
