LE CERCLE/POINT DE VUE – Le Règlement général sur la protection des données personnelles, qui entrera en vigueur le 25 mai, est, à plusieurs égards, un gigantesque bouleversement pour les entreprises.
Selon une théorie admise par la communauté scientifique, l’univers aurait été créé en un instant passant de l’infiniment petit à sa taille actuelle (près de 2.000 milliards de galaxies selon la Nasa). C’est le fameux Big Bang. Avant il n’y avait rien puis « bang », tout a existé.
L’image est utile pour comprendre le Règlement général sur la protection des données personnelles (RGPD), en ce sens que le 25 mai 2018 à 0 h 01, date et heure de son entrée en vigueur, il y aura un Big Bang qui va créer l’univers de la protection des données personnelles au sein de l’Union européenne. A cet instant les dispositions du RGPD seront obligatoires et applicables aux 511,8 millions de citoyens dans l’UE.
Des droits et des devoirs
Le RGPD risque bien d’être un Big Bang à plusieurs titres. Le règlement général se caractérise par le fait qu’il distingue entre droits et devoirs et surtout qu’il attribue tous les droits à l’individu et tous les devoirs aux entreprises, administrations ou collectivités assujetties.
Pour l’individu ou l’employé la liste de ses droits est longue : droit à la vie privé, droit à la protection, droit à l’oubli, droit d’accès, droit à la rectification, droit à l’effacement, droit à l’erreur, droit à la transparence, droit à connaître, droit de se faire communiquer, droit au déréférencement, droit à la portabilité, droit de faire rectifier, droit d’opposition, droit à la conservation, droit au transfert. De plus, le préambule du RGPD précise que la protection des données personnelles est un « droit fondamental », l’érigeant de ce fait sur un piédestal encore supérieur, même si le texte précise qu’il ne s’agit pas d’un « droit absolu ».
L’employeur en revanche n’a que des devoirs et obligations : devoir de non-évaluation, obligation de non-profilage, devoir de traitement équitable et transparent, obligation d’adopter des règles internes et mettre en oeuvre des mesures qui respectent la protection, obligation de désigner un représentant responsable du traitement, obligation d’établir un contrat ou un autre acte juridique, obligation de tenir des registres, obligation d’effectuer une analyse d’impact, devoir de notifier à l’autorité de contrôle dans les meilleurs délais et 72 heures au plus tard…
Une charge pour les PME
Le RGPD concerne tant les ressources humaines que l’informatique et aussi le juridique. Les premiers devront intervenir pour identifier quelles sont les données personnelles à protéger, les seconds devront mettre en place le bon traitement de ces données et les troisièmes seront chargés d’en assurer la protection. La figure naissante et croissante du responsable de la protection des données – le fameux « data protection officer » (DPO) – s’avère chaque jour plus essentielle pour implanter, gérer et coordonner le RGPD.
Les défis que pose le RGPD sont considérables notamment pour les PME qui ont plus de 250 employés, seuil à partir duquel le RGPD version « dur » s’impose aux assujettis – mais aussi celles de moins de 250 personnes qui sont aussi soumises à la version « légère », surtout celles qui néanmoins traitent des données personnelles. A la différence des grands groupes, elles n’auront que peu de moyens techniques et humains à dédier aux nouvelles normes du RGPD. Le « out-sourcing » devient capital.
De lourdes sanctions
Les sanctions pour non-respect du RGPD peuvent 4 % du chiffre d’affaires de l’entité condamnée ou 20 millions d’euros. Cette somme équivalent à 4 % d’un chiffre d’affaires de 500 millions ce qui est beaucoup, mais inférieure aux « CA » en 2016 de LVMH (37,6 milliards d’euros) – le groupe propriétaire des « Echos », d’Orange (près de 41 milliards d’euros) ou Renault (51,2 milliards d’euros), sans parler de Google (79 milliards de dollars), Amazon (130 milliards de dollars) ou Apple (215 milliards de dollars). Une amende de 4 % du chiffre d’affaires d’Apple représenterait 8,6 milliards de dollars !
On est loin de la célèbre loi informatique et libertés de 1978,une première en France, dont le principe était le fichage de personnes physiques et l’exception les conséquences « antisociales » de l’activité informatique. Le nouveau panorama européen des libertés et de la sécurité va être complètement bouleversé par ce Big Bang.
Eric Gardner de Béville, co-directeur de HR consulting group et avocat à Madrid. LE CERCLE/POINT DE VUE –