http://lamyline.lamy.

fr

Perspectives

RLDC 6242

Rglement europen sur la

protection des donnes: le compte
rebours a commenc
Il rsulte dune enqute rcente, quun dcideur sur dix pense que le rglement gnral n2016-679,
du 27 avril2016 sur la protection des donnes (RGPD) ne sapplique pas son organisation (tude
Trend Micro, mars 2016). Or, le RGPD a vocation sappliquer toutes les entreprises.
Rgl. (UE), n2016-679, 27 avr.2016, JOUE 4 mai 2016, nL119

I
Par Sylvie JONAS
Avocate associe,
Avistem avocats

l a t publi au Journal officiel de lUnion europenne le 4 mai 2016 et est entr en vigueur le
24 mai 2016, soit 20 jours aprs sa publication.
Cette date du 24 mai 2016 marque le point de dpart dune priode transitoire de deux ans afin de
permettre aux entreprises de se mettre en conformit aux dispositions du RGPD, qui sera applicable
compter du 25 mai 2018.
Cette priode de deux ans pour sy conformer apparat courte au regard de lampleur de la rforme
et de la rvision des process juridiques et informatiques quelle implique.
En pratique, la ligne du temps affrente au traitement des donnes se dcoupe en trois tapes: le
recueil des donnes, leur traitement et leffacement
des donnes au terme du traitement.
En application du principe essentiel mis en exergue
par le RGPD, laccountability, chaque tape devra
faire lobjet de mesures organisationnelles et techniques et lentreprise devra tre prte faire la
preuve, tout moment, du respect de ces mesures.
Analyses de risques et tudes dimpacts, privacy
by design, privacy by default, ou encore processus de gestion des droits des personnes sont les
termes qui vont agiter nos claviers dans les deux
prochaines annes.
Mais pourquoi les entreprises sengageraient-elles
plus aujourdhui quhier?
Le non-respect de la loi informatique et liberts
(L.n78-17, 6 janv.1978, JO7 janv.), qui a pourtant
presque quarante ans, se constate chaque jour et
notamment par labsence de mention dinformation sur les formulaires de collecte de donnes en
ligne, labsence de recueil du consentement, lexploitation des donnes en fraude des droits des
personnes.

38 I RLDC

Le RGPD a su trouver les mots pour toucher au

cur les entreprises : 20 millions deuros ou 4 %
du chiffre daffaires, sanction maximale qui pourra
tre prononce en cas de violation des dispositions
du RGPD relatives notamment aux principes de
base que sont la loyaut, la licit du traitement,
la transparence, le respect des finalits pour lesquelles les donnes sont collectes, ou encore en
cas de violation des dispositions relatives aux droits
des personnes, au consentement, au transfert des
donnes en dehors de lUnion europenne. Le
Brexit pourra dailleurs avoir des consquences sur
le transfert des donnes vers la Grande-Bretagne,
ou ce quil en restera, puisquil pourrait sagir alors
dun transfert de donnes vers un tat non membre
de lUnion europenne.
Au-del de la sanction financire, le risque dimage
est particulirement prgnant et le vritable enjeu
pour les entreprises est de crer de la confiance
avec leurs clients. Cette confiance passe par la scurit et le respect des droits des personnes. Le secret nest plus de mise puisque les violations des
systmes dinformation, les failles de scurit, les
pertes de donnes devront tre notifies lautorit de contrle dans les soixante-douze heures, sauf
exception, et la personne concerne si la violation
prsente un risque lev au regard des droits de la
personne.
Voici ci-aprs, plus en dtails, quelques lments
essentiels du RGPD.
1. La conscration dune dfinition large de la
donne caractre personnel, adapte notre
socit numrique et aux moyens actuels didentification des personnes : outre les noms, prnoms,
adresses e-mails, les autres moyens permettant
didentifier directement ou indirectement une personne physique sont viss. Il en est ainsi notamment

Numro 142 I Novembre 2016