Êtes-vous prêts pour l'entrée en vigueur du nouveau règlement sur la protection des données ?

Le Garant de la protection des données a élaboré un guide pour l'application du règlement européen 2016/679 relatif à la protection des données à caractère personnel, adopté par le Parlement européen en avril 2016, afin de permettre aux particuliers, aux entreprises et aux organismes publics de prendre connaissance des nouvelles dispositions en la matière et de les appliquer correctement.

Le règlement, qui entrera pleinement en vigueur le 25 mai 2018, s'appliquera dans tous les pays de l'UE sans nécessiter de procédure de transposition et remplacera l'actuel Code de la vie privée, adopté par le décret législatif n° 196 de 2003 dans le cadre de la mise en œuvre d'une précédente directive communautaire.
D'ici un an, les réglementations nationales en matière de confidentialité et de protection des données de tous les États membres de l'Union européenne seront donc harmonisées au sein d'un cadre réglementaire unique.

Le dispositif mis en place par l'Union européenne comprend deux volets : un règlement qui concerne les personnes physiques, les entreprises et les administrations, et une directive plus spécifique relative à l'utilisation des données à caractère personnel dans le domaine de la sécurité, de la police et de la justice. Ce deuxième volet devra être transposé dans les législations nationales respectives par le biais d'une réglementation d'application. 

Le guide du Garant aborde les thèmes de la première partie de la réglementation, en les répartissant en six groupes (fondements de la licéité du traitement ; note d'information ; droits des personnes concernées ; responsable du traitement, sous-traitant et mandataire ; approche fondée sur les risques liés au traitement et mesures de responsabilisation des responsables du traitement et des sous-traitants ; transferts internationaux de données) et en examinant, pour chacun d'entre eux, les nouveautés et les éventuelles problématiques.

Parmi les nouveautés introduites par le règlement, certaines profitent notamment à la personne concernée. Tout d'abord, la déclaration éventuellement signée par la personne concernée devra être claire, concise, transparente, compréhensible et facilement accessible. En outre, le titulaire des données pourra, si nécessaire, décider de les transférer d'une entité à une autre, avec la possibilité, par conséquent, de changer de prestataire sans perdre les données fournies. Ce n'est que pour les pays non européens ou pour les organisations internationales ne disposant pas d'une politique de confidentialité adéquate qu'un consentement explicite au transfert des données à caractère personnel sera nécessaire. 
D'autre part, le règlement encourage la responsabilisation des responsables du traitement et l'adoption d'approches et de politiques qui tiennent constamment compte du risque qu'un traitement donné de données à caractère personnel peut comporter pour les droits et libertés des personnes concernées.
Enfin, une autre nouveauté importante concerne l'introduction de la fonction de délégué à la protection des données, un professionnel chargé de la gestion et du contrôle des politiques de confidentialité des entreprises et des organismes. 

D'ici un an, nous découvrirons donc les effets de cette réforme et verrons comment la gestion des données à caractère personnel évoluera dans toute l'Union européenne.