Applicable dès le 25 mai 2018, le nouveau règlement général sur la protection des données (RGPD) s'imposera immédiatement à toutes les institutions, entreprises, collectivités, ou encore associations qui traitent des données à caractère personnel des résidents de l'Union européenne. Elle vise à minimiser les risques de violations des données à caractère personnel, et tous les préjudices pouvant en découler : atteinte à la vie privée, à la réputation, à l'image, ou encore toutes les formes de discrimination qui pourraient en découler, notamment dans le cas des données sensibles.

Comme l'a rappelé Gregory VOSS, juris doctor et enseignant-chercheur à Toulouse Business School, spécialiste de la protection des données personnelles et du droit de l'internet, le RGPD procède d'un changement radical de culture. Concrètement, il n'y aura plus de formalités préalables. En revanche, chaque institution devra mettre en œuvre des outils de protection des données à caractère personnelle (faire un inventaire de ses traitements de données, effectuer une analyse d'impact des donnés traitées, nommer un délégué à la protection des données...) et être en mesure d'en justifier à tout moment, en cas de contrôle de la CNIL.

Un changement de culture

Autre changement de taille, en cas de piratage ou de fuite de données, l'institution visée devra notifier l'incident dans les meilleurs délais, non seulement  à l'autorité de contrôle, mais aussi à toutes les personnes touchées (clients, utilisateurs, etc.), sauf exception, dès lors que la violation est susceptible d'engendrer un risque élevé pour les droit et libertés de ces personnes. Cette nouvelle législation appelle donc les entreprises à revoir leur protection des données : par des biais technologiques tels que le chiffrement et la pseudonymisation, mais aussi au niveau de la conception-même de leurs systèmes, en limitant les données collectées : quantitativement, qualitativement, dans la durée et dans leur accessibilité.

Parmi les points positifs recensés : un guichet réglementaire unique, une harmonisation juridique à l'échelle de l'Union Européenne, une simplification des formalités (plus de déclaration préalable, seule compte l'efficacité du système mis en place) et, par ricochet, le besoin de nouveaux outils et de nouvelles compétences ouvrant de nouvelles opportunités de carrière et perspectives de développement (on estime à 75000 le nombre d'emplois à créer à l'échelle mondiale dans ce secteur de la protection des données à caractère personnel).

Une législation imparfaite mais source d'opportunité

Second orateur de cette Matinale, Maitre Stanley CLAISSE, avocat, conférencier et formateur spécialisé en droit de la propriété intellectuelle, droit de l'informatique et des télécommunications, a précisé certaines implications de cette nouvelle donne, attirant notamment l'attention sur l'arrivée de nouveaux acteurs douteux sur ce marché qui n'engagent pas tous leur responsabilité sur les conseils et avis qu'ils donnent.

Autre conséquence à comprendre, un donneur d'ordre, responsable en première ligne des donnés qu'il traite doit s'assurer que ses sous-traitants  garantissent, par contrat, le niveau de sécurité qu'il a défini en interne et à défaut devra s'en séparer.

Enfin, Stanley CLAISSE a exposé certaines limites de la nouvelle législation, parmi lesquelles l'absence de prise en compte des données dites non-personnelles (trackers sur internet, notamment étrangers), outre une vrai difficulté pour annoncer la "finalité", au sens de la loi,  d'un traitement de type "big data" dès lors que celui-ci va produire, par définition, des résultats inattendus.

Cependant, il juge plutôt favorablement cette évolution réglementaire en ce qu'elle offre des opportunités de sécurisation et de rationalisation des collectes de données à caractère personnel permettant de mieux les exploiter et les valoriser.