RGPD : deviendra-t-il la norme internationale pour la protection des données ?

Le Règlement général sur la protection des données (RGPD), nouveau texte de référence de l’UE, pourrait définir une nouvelle norme absolue pour la protection des données, améliorant ainsi considérablement la protection des consommateurs au sein de l’UE et dans le monde entier. À seulement 10 mois de l’entrée en vigueur du RGPD, nos experts en défense des droits examinent les opportunités et les défis internationaux que ce dernier pourrait présenter.

 

Le RGPD est une évolution des lois actuelles de l’UE, pas une révolution. Il renforce les droits relatifs à la protection des données des individus et les capacités d’application. Un changement majeur est qu’il exigera que toutes les entreprises et organisations qui traitent les données de citoyens de l’UE se conforment aux exigences du RGPD. Ce seul point offrira à cette réglementation une portée internationale considérable. Cependant, ajoutez le désir des entreprises d’avoir des systèmes standardisés et une gestion transfrontalière homogène des données pour obtenir une incitation encore plus forte d’harmonisation des pratiques.

Principaux points du RGPD 

Preuve de consentement renforcée : un consentement sans équivoque est maintenant nécessaire si les données collectées sont des données personnelles non sensibles. Mais un consentement explicite est maintenant nécessaire lors de la collecte de données personnelles sensibles, telles que des données relatives à la santé mentale et physique. Sans surprise, la différence entre les termes « explicite » et « sans équivoque » a mené à de nombreux débats. Cependant, ce qui est sûr c’est que les entreprises devront travailler davantage pour prouver que les clients ont compris et ont accepté leurs conditions d’utilisation.

• Preuve de consentement renforcée : un consentement sans équivoque est maintenant nécessaire si les données collectées sont des données personnelles non sensibles. Mais un consentement explicite est maintenant nécessaire lors de la collecte de données personnelles sensibles, telles que des données relatives à la santé mentale et physique. Sans surprise, la différence entre les termes « explicite » et « sans équivoque » a mené à de nombreux débats. Cependant, ce qui est sûr c’est que les entreprises devront travailler davantage pour prouver que les clients ont compris et ont accepté leurs conditions d’utilisation.
• Portabilité : le droit à la portabilité des données permet aux individus d’obtenir et de réutiliser leurs données personnelles dans différents services. L’idée est que cela facilitera le passage à d’autres services et réduira le problème de « blocage ».
• Le droit à l’oubli, officiellement appelé le « droit à l’effacement » : les individus peuvent maintenant demander que leurs données personnelles soient effacées ou non utilisées dans certaines circonstances. Bien qu’il existe plusieurs exceptions, ce droit se fonde sur le droit à l’oubli établi dans une jurisprudence de la Cour de Justice en 2014.
• Notification obligatoire en cas de fuite de données : dans le cas d’une fuite de données personnelles susceptible d’avoir des effets préjudiciables sur un individu (par exemple, atteinte à la réputation, perte de confidentialité ou perte financière), l’organisation devra informer les individus concernés, ainsi que l’autorité de supervision compétente, de cette fuite, ou elle s’exposera à une amende.
• Représentation directe par des ONG : les consommateurs de l’UE ont maintenant le droit de demander à une ONG compétente d’intenter des actions en leur nom contre les processeurs de données. Les pays peuvent également donner à ces ONG le droit de mener une action collective. [Selon de nombreux commentateurs, cela mènera à une forte augmentation du nombre de recours collectifs après son entrée en vigueur, comme ce fut le cas aux États-Unis.]
• Amendes : les amendes pour les entreprises ne respectant pas les nouvelles règles sont passées à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, avec application du montant le plus élevé.
• Implications internationales : le lieu de traitement des données des citoyens de l’UE n’est plus pertinent. En gros, les règles en place là où les données d’une personne sont traitées n’importent aucunement. Si les organisations ciblent spécifiquement des citoyens de l’UE ou contrôlent leur comportement en ligne, alors le RGPD s’applique.
  
  

Le défi pour les entreprises

Selon une récente enquête menée par Dell, 97 % des entreprises internationales contactées n’avaient pas de plan en place pour remplir les exigences du RGPD, et seulement un professionnel du secteur sur neuf déclarait avec confiance qu’il serait prêt pour son entrée en vigueur. Les chiffres sont légèrement meilleurs au sein de l’UE ; une étude montre que 42 % des entreprises d’Europe occidentale pensent qu’elles seront prêtes pour l’entrée en vigueur du RGPD en 2018.

Alors, quels sont les défis ? Dans certains cas, cela forcera les entreprises à repenser la nature même de leurs modèles d’entreprise basés sur le vaste consentement à collecter un large éventail de données personnelles, souvent pour des objectifs non définis. Par conséquent, de nombreux aspects des opérations de l’entreprise — du marketing et de la stratégie, aux avocats spécialisés dans le droit relatif à la protection de la vie privée, en passant par la conception des infrastructures techniques — devront être pris en compte.

Il s’agit également d’un défi en matière d’investissement. Des investissements seront nécessaires à chaque étape de préparation, dont, pour les entreprises plus grandes, la nomination d’un délégué à la protection des données qui devra avoir une parfaite connaissance des lois et pratiques en matière de protection des données.

Mettre à niveau ou commencer de zéro ?

L’ampleur du défi auquel doivent faire face les entreprises et les organisations dépend en partie de si elles opèrent déjà dans des juridictions avec des lois sur la protection des données. Certains pays ont déjà des lois en place étendues sur la protection des données, bien que des révisions et des modifications importantes puissent être nécessaires pour les pays souhaitant être jugés « adéquats » par l’UE à des fins de transfert de données. Dans d’autres cas, les processeurs de données peuvent opérer dans des pays sans cadre solide de protection des données.

Selon une autre étude de Consumers International menée sur 23 pays à revenu moyen, à revenu moyen inférieur et à faible revenu, seulement 13 avaient des cadres juridiques en place pour la protection des données, bien que sept disposent de projets de loi qui progressent lentement. Les membres et les experts nous ont dit que le manque de volonté politique et le manque de compréhension du monde souvent complexe de la protection de données expliquent que les lois peuvent prendre des années à être mises en place.

La course à l’avantage concurrentiel 

Selon certains commentateurs, les pays en voie de développement avec une main-d’œuvre éduquée, un gouvernement favorable aux entreprises et un pouvoir judiciaire efficace pourraient bénéficier des demandes que le RGPD créera. Cependant, dans de nombreux pays, le pouvoir judiciaire et législatif aura du mal à trouver les ressources nécessaires pour prendre en charge le contrôle, l’audit et le traitement des actions requis par le RGPD. Avec des inquiétudes concernant la capacité même de l’UE à répondre à la demande en délégués à la protection des données et en connaissances juridiques afin d’appliquer le RGPD, le défi pour les pays avec moins d’expériences dans ce domaine sera difficile.

Les plus petites entreprises pourraient également avoir du mal à rivaliser avec les géants américains dans la course à la nomination de délégués à la protection des données. Puis, au moins au début, le personnel qualifié pourrait être attiré vers des centres avec les plus grandes entreprises et les plus hauts salaires.

Le défi des approches et des systèmes juridiques différents

La recherche internationale et l’existence de lois sur la protection des données dans la plupart des régions suggèrent une grande acceptation et un large soutien des principes de protection des données ; par conséquent, dans de nombreux pays, le RGPD pourrait devenir un outil précieux pour les appels nationaux à renforcer et à améliorer la protection des données. Néanmoins, le fait que les pays et les régions abordent les questions de « confidentialité », « sécurité », « protection de données » et même de « droits » différemment pourrait compliquer l’interprétation et le respect des exigences du RGPD.

Les discussions avec les experts en droit numérique ont souligné qu’une mise en œuvre descendante de la loi sur la protection des données pourrait ne pas s’appliquer si vite dans certains pays ou dans certaines régions. Des changements devront refléter les opinions locales et être soutenus par une conscience sociétale et un lobby national.

La régulation d’un marché international en évolution rapide

Pour que le RGPD relève le niveau de protection des données de la façon proposée par de nombreuses personnes, la première étape consiste en sa mise en place réussie au sein de l’UE et en son adoption par toutes les entreprises opérant au sein de l’UE. Si cela semble progresser de façon satisfaisante, les chances qu’il influence la pratique internationale seront plus élevées.

Ce blog a examiné les principaux défis et opportunités inhérents à l’adoption internationale du RGPD, parfait exemple du défi bien plus grand qui consiste à créer des règles, des règlements et des engagements internationaux concernant des pratiques partagées dans un monde numérique mondialisé où les pratiques et les technologies devancent de loin les règles et les régulations.