Arnaud Constant est chargé de la protection des données à la Caisse nationale de santé. (Photo: Maison Moderne)

Arnaud Constant est chargé de la protection des données à la Caisse nationale de santé. (Photo: Maison Moderne)

C’est le 25 mai 2018 que le règlement général sur la protection des données (General Data Protection Regulation, GDPR) entrera en vigueur. Ce texte supranational incite les entreprises et organisations à être davantage vigilantes concernant l’exploitation des données attenantes à un individu.

Il ne s’agit pas simplement d’abroger la directive 95/46/CE, transposée au Luxembourg par la loi du 2 août 2002, pour une harmonisation des pratiques sur le sol européen. Cette volonté doit être saluée, convenons-en ; mais c’est bel et bien le niveau de renforcement de la législation déjà en place et normalement appliquée par tous (sic !) qui doit attirer toute notre attention.

Notons le périmètre particulièrement large de ce texte. En effet, nous sommes tous citoyens, attachés à la défense de nos libertés fondamentales, d’une part, et maillons d’une vie en société consommatrice vorace de données, d’autre part.

Nous voilà donc face à des prescriptions des plus intéressantes. Il y est plus question de principes, de conduite, de responsabilisation, voire d’éthique, que de modèles stricts d’organisation à appliquer ou d’interdictions manifestes de faire.

Nous attendrons bien évidemment les précisions de notre loi nationale en cours de finalisation, des premières décisions des autorités de contrôle nationales, des ajustements de tel ou tel règlement grand-ducal et toute autre circulaire à appliquer.

Le futur règlement ne vient que renforcer une situation existante, via une responsabilisation du bien nommé responsable de traitement, à qui il incombera des obligations de formalisme quant aux données qu’il traite.

Il faudra aux responsables de traitement appréhender leur environnement et les spécificités de leur secteur (santé, fonds d’investissement, banque privée, assurance, commerce…), convenir des modalités d’information vis-à-vis des personnes concernées et satisfaire à l’exercice de leurs droits multiples.

L’ensemble de ces tâches sera matérialisé par un véritable effort de documentation quant à la légitimité, la base légale, les moyens et tout autre détail que peut requérir la parfaite maîtrise des processus évoqués.

Au final, il faut dès à présent que les responsables de traitement débutent leurs travaux pour ne pas être pris de cours par une année 2018 qui sera à coup sûr placée sous le signe de la protection des données, car quoi qu’il en soit, parions qu’en mai 2018 les comparaisons se feront sur les niveaux de retard réciproques, plus que sur les conformités atteintes.

Articles Associés