Il s’agit en effet de la date d’entrée en vigueur du règlement général sur la protection des données (Règlement [UE] 2016/679, dit «GDPR»). Le texte européen, qui vient remplacer la législation actuelle sur la protection des données, même s’il ne vise pas à révolutionner la matière, risque quand même de chambouler sensiblement les habitudes et pratiques commerciales des acteurs en ligne.
Au vu de la taille du règlement et des textes interprétatifs déjà disponibles, je ne pourrai donner un aperçu complet des changements à venir et me limiterai de ce fait à quelques exemples qui auront un intérêt particulier pour le secteur du commerce et des services en ligne.
L’entreprise devra documenter ses traitements de données et les mesures mises en œuvre pour respecter la loi.
Olivier Reisch, Counsel (Linklaters )
Changement d’approche en matière de conformité
Tout d’abord, il y a lieu de relever que le règlement nécessitera un changement d’approche quant à la conformité avec la législation sur la protection des données personnelles. Si aujourd’hui les entreprises procèdent généralement à un inventaire de leurs traitements en amont pour ensuite faire les déclarations nécessaires au régulateur (la Commission nationale pour la protection des données, CNPD), demain, les contrôles se feront a posteriori. S’il ne sera plus nécessaire de déclarer les traitements de données au régulateur, ce dernier pourra cependant à tout moment effectuer un contrôle sur place pour évaluer la conformité de l’entreprise avec la réglementation applicable.
Ceci implique que l’entreprise devra consciencieusement documenter ses traitements de données et les mesures mises en œuvre pour respecter la loi. Dans certains cas, il sera également obligatoire de nommer un délégué à la protection des données, une sorte de «compliance officer» dédié au respect de la réglementation sur la protection des données au sein de l’entreprise.
Les notices aux utilisateurs devront être beaucoup plus explicites.
Transparence accrue et profilage
Le souci de documenter la conformité à la réglementation se traduit également par un devoir de transparence accru. Ainsi, les notices aux utilisateurs (les fameuses «privacy notices») devront être beaucoup plus explicites quant aux traitements effectués et, surtout, exprimées dans un langage clair et compréhensible pour l’utilisateur commun.
Ceci s’applique particulièrement dans le cadre des activités de profilage, dans la mesure où l’analyse du comportement des usagers des sites pourra avoir des conséquences sur les services proposés (p.ex. accorder ou non une ligne de crédit). Dans ces cas, les individus disposent désormais du droit d’exiger l’intervention d’un être humain.
Le règlement imposera des standards de sécurité plus élevés.
Sécurité des données
Le règlement imposera des standards de sécurité plus élevés que ceux de la législation actuelle, mais surtout introduira une obligation de se dénoncer en cas de défaillance de ces mesures de sécurité («data breach»). En effet, en cas de perte ou de vol de données personnelles, l’entreprise devra sans délai et au plus tard dans les 72 heures en avertir la CNPD, à moins que cela ne présente aucun risque pour les personnes concernées. Cependant, si un tel risque existe et qu’il semble élevé, il faudra en outre avertir sans délai les utilisateurs concernés, ce qui ne manquera pas d’avoir un impact sur la réputation de l’acteur en ligne.
Réévaluation des contrats avec les prestataires
La gestion des violations en matière de sécurité des données n’est d’ailleurs qu’un des aspects qu’il faudra revisiter dans les contrats entre les acteurs en ligne et leurs éventuels prestataires de services (de paiement, de logistique, de cloud hosting, etc.). Le règlement impose en effet aux acteurs en ligne et à leurs prestataires de clairement définir le cadre de leur relation et les responsabilités en matière de traitements de données dans les contrats qui les lient. Bon nombre de ces contrats devront donc être revisités à la vue des exigences du règlement en matière d’audit, de sous-traitance en cascade, de registres de traitements, etc.
Nouvelle approche de développement de produits et services
Lorsque l’entreprise voudra proposer de nouveaux services, il faudra dès la phase de conception du produit ou du service incorporer les considérations issues de la réglementation en matière de vie privée, que ce soit au niveau des choix conceptuels et stratégiques («privacy by design») ou des paramétrages du service («privacy by default»). De nouveaux droits des utilisateurs comme le droit à l’oubli, donc de destruction de toutes les données collectées sur un individu, ou le droit à la portabilité des données, c’est-à-dire le droit de transférer ses données personnelles d’un prestataire vers un autre, seront autant de nouveaux défis en matière de processus internes et d’adaptations technologiques.
Sanctions
Serait-ce donc une législation contraignante au point de rester lettre morte? C’est très peu probable, alors que les sanctions prévues en cas de violation s’élèvent jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires global du groupe, selon le chiffre le plus élevé…