Abécédaire du changement
Si le règlement général de protection des données, applicable depuis le 25 mai, se situe résolument dans la continuité de la directive de 1995, il introduit toutefois de nombreux éléments de progrès par rapport à celle-ci. Petit abécédaire des principaux changements.
C pour champ d’application. Avancée sans doute la plus notable du RGPD, celui-ci modifie substantiellement le champ d’application territorial de la réglementation européenne. Le critère retenu par la directive de 1995 était essentiellement la présence, sur le territoire de l’Union, du responsable du traitement ou de moyens dédiés à celui-ci. L’article 3 du RGPD dispose désormais que sont également visés les traitements qui portent sur les données personnelles des personnes qui se trouvent sur le territoire de l’Union lorsque le responsable du traitement n’est pas établi dans l’Union, lorsque les activités de traitement sont liées soit à l’offre de biens ou de services à ces personnes, soit au suivi du comportement de ces personnes lorsque celui-ci a lieu au sein de l’Union.
D pour Délégué à la protection des données. L’article 37 du RGPD impose au responsable du traitement de désigner un délégué à la protection des données dans un certain nombre de cas, là où la directive de 1995 se bornait à prévoir la simple possibilité de désigner un “détaché” à la protection des données.
E pour Enfants. Le RGPD introduit une nouveauté par rapport à la directive en prévoyant des dispositions spécifiques destinées à protéger particulièrement les enfants. En vertu de l’article 8 du RGPD, le traitement n’est licite que si le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant lorsque celui-ci est âgé de moins de 16 ans. Le RGPD laisse aux États membres la possibilité de prévoir un âge inférieur pour autant que celui-ci ne soit pas en-dessous de 13 ans.
G comme Guichet unique. S’agissant des autorités de contrôle, l’article 56 du RGPD consacre une logique de guichet unique dans l’hypothèse où le responsable du traitement est établi sur le territoire de plusieurs Etats membres de l’Union. Dans ce cas, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement joue le rôle de chef de file concernant le traitement transfrontalier effectué et est à cet égard le seul interlocuteur du responsable du traitement.
N pour Nécessité. L’article 5 du RGPD précise que les données collectées doivent être “limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées”, renforçant ainsi quelque peu la rédaction de la directive de 1995 qui se bornait à dire que les données collectées devaient être “non excessives”.
O comme Oubli. L’article 17 du RGPD renforce le droit à l’effacement des données qui existait déjà dans la directive de 1995 et sur la base duquel la Cour de justice avait dégagé jurisprudentiellement un droit au déréférencement sur les résultats des moteurs de recherche (arrêt Google Spain du 13 mai 2014).
P comme Portabilité. L’article 20 du RGPD introduit une nouveauté radicale et bienvenue : le droit à la portabilité des données, en vertu duquel, lorsque les données ont été fournies à un responsable de traitement, l’internaute a le droit de les réclamer “dans un format structuré, couramment utilisé et lisible par machine” afin de pouvoir librement les transmettre à un autre responsable de traitement.
T comme Transfert de données. L’article 45 du RGPD prévoit que le transfert de données personnelles vers un pays tiers ne nécessite aucune autorisation spécifique lorsque la Commission a constaté que ce pays assurait un niveau de protection adéquat en matière de protection des données. La Commission européenne est désormais seule compétente pour évaluer ce niveau de protection, alors que la directive de 1995 confiait également ce soin aux Etats membres.
Et sans oublier :
A comme Amendes. Le RGPD augmente substantiellement le montant des amendes susceptibles d’être infligées. Deviennent par exemple passibles d’une amende pouvant s’élever jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaire annuel mondial total les infractions relatives aux principes fondamentaux du traitement, aux droits des personnes concernées ou aux transferts de données à destination d’un pays tiers.
