le 14/06/2017

Mai 2018 : Entrée en vigueur du Règlement européen RGPD

Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016

A moins d’un an de l’entrée en vigueur du Règlement européen sur le traitement des données personnelles, les administrations commencent à s’organiser dans les territoires expérimentaux désignés.

Il s’agit d’une révolution dans le processus puisque l’on passe du régime de la déclaration vers l’obligation de rendre le traitement des données à caractère personnel conforme au Règlement.

Rappelons que selon la Loi Informatiques et Libertés (LIL), une donnée à caractère personnel est définie comme « toute information relative à une personne physique identifiée ou pouvant être identifiée, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

La loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, dite « Loi Lemaire », a renforcé les sanctions financières de la CNIL, qui peuvent aller jusqu’à 3 millions d’euros et a prévu de nouvelles informations dans les mentions d’information, telles que la durée de conservation des données personnelles et la possibilité d’organiser le sort de ces données après la mort.

De surcroît, la Loi Lemaire a instauré le principe selon lequel tout document administratif est publiable, sauf dans certains cas, mais pose l’interdiction de publication de documents portant atteinte à la vie privée ou comportant des données personnelles, sauf dans des conditions très strictes (accord des personnes intéressées, disposition législatives expresses, anonymisation des données).

Le Règlement européen, qui entrera en vigueur le 25 mai 2018, prévoit un niveau de sanction encore plus élevé en cas de non-conformité.

Il instaure un système de responsabilisation et de transparence des administrations, qui suppose la prise en compte du traitement de la donnée dès le début de la mise en place d’un service ou d’un produit. L’information des personnes concernées par les données collectées est renforcée, de nouveaux droits apparaissent, comme le droit à la limitation du traitement ou à la portabilité des données.

Les actions doivent donc être engagées dès aujourd’hui pour recenser les applications contenant des données à caractère personnel, mettre en place les mécanismes de sécurité et de protection et procéder à la vérification de la conformité au Règlement.