Le nouveau Règlement européen sur la protection des données personnelles (Règlement UE 2016/679) est paru au journal officiel de l’Union européenne le 4 mai 2016 et entrera en application le 25 mai 2018.
Le Règlement impose une révolution de fonctionnement aux organisations en supprimant les obligations déclaratives, en contrepartie d’une responsabilisation quant aux données personnelles qu’elles traitent. Il introduit de nouveaux concepts : privacy by design & by default, portabilité des données etc., et généralise le recours à des outils tels que les études d’impact sur la vie privée. Or, l’importance des sanctions financières pour non-conformité au Règlement ne permet plus d’ignorer le risque « données personnelles ».
Les nouveaux droits et obligations introduits par le Règlement doivent encore toutefois être traduits en actions concrètes à mettre en œuvre par les organisations en vue d’une conformité au Règlement à horizon 2018.
Ce travail de « traduction » est en cours au sein des « CNIL européennes », réunies dans le cadre du « Groupe de l’article 29 », qui entendent développer des lignes directrices, des outils et des procédures afin de rendre possible la mise en conformité avec le Règlement au 1er Semestre 2018.
Ainsi, le G29 a rendu public le 16 décembre 2016, un premier ensemble de lignes directrices, d’outils et de procédures concernant :
- Le rôle du Data Privacy Officer,
- Le nouveau droit à la portabilité des données,
- L’identification de l’établissement principal pour les groupes multinationaux, afin d’identifier l’autorité de supervision nationale dont ils relèveront.
Le G29 propose de recueillir d’ici fin janvier 2017 tout commentaire complémentaire que les acteurs économiques ou la société civile souhaiteraient apporter aux lignes directives adoptées.
Par ailleurs, La CNIL anglaise (ICO) a dévoilé l’agenda du G29 et ses priorités pour 2017 :
- En février 2017, publication de lignes directrices, d’outils et de procédures concernant :
- Les analyses d’impact sur la vie privée,
- la notion de « risque élevé », qui conditionne l’obligation de procéder aux analyses d’impact sur la vie privée,
- Courant 2017 : publication sur les modalités de certification de conformité au Règlement.
Ces publications sont particulièrement attendues par les organisations les plus sensibles au risque données personnelles, qui sont sur le point de lancer ou ont d’ores et déjà amorcé la première étape de leurs travaux de mise en conformité, à savoir la cartographie des traitements mis en œuvre par leur organisation.
