Le règlement européen sur la protection des données personnelles sera applicable en mai 2018.

Les autorités de protection européennes se sont toutefois fixées pour objectif d’établir certaines lignes directrices d’ici la fin de l’année 2016.

Il est donc intéressant de se pencher dès aujourd’hui sur les principaux impacts de ce règlement.

Une sécurité juridique accrue: une réponse unique sur l’ensemble du territoire de l’UE

Les entreprises seront en contact avec un « guichet unique », à savoir l’autorité de protection des données de l’État membre où se trouve leur « établissement principal ».

Dès lors qu’un traitement concernera plusieurs Etats de l’UE, l’autorité compétente coopérera avec les autres autorités concernées afin d’adopter une décision conjointe sur la conformité d’un traitement ou sur un manquement au règlement.

De nouveaux droits

Le droit à la portabilité

Ce droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et le cas échéant, de les transférer ensuite à un tiers. [/fruitful_tab]

Les actions collectives

Les associations actives dans le domaine de la protection des données personnelles auront la possibilité d’introduire des recours collectifs.

Un droit à réparation

Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement a le droit d’obtenir réparation du préjudice subi.

La certification

Le règlement encourage la mise en place de mécanismes de certification, de labels et de marques en matière de protection des données.

Ces dispositifs permettraient aux entreprises certifiées de démontrer qu’elles respectent la législation sur la protection des données.

La réalisation d’une étude d’impact sur la vie privée

Pour tous les traitements de données sensibles qui révèlent notamment l’origine raciale, les opinions politiques ou religieuses, l’appartenance syndicale, les données de santé, les données génétiques ou biométriques, les données de profilage, l’entreprise devra conduire une étude d’impact sur la vie privée (EIVP) faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.

Si l’entreprise ne parvient pas à réduire les risques liés au traitement par des mesures appropriées, elle devra consulter l’autorité de protection des données avant de mettre en œuvre ce traitement.

La désignation d’un délégué à la protection des données

Les entreprises traitant à grande échelle les données sensibles devront obligatoirement désigner un délégué à la protection des données qui sera chargé de vérifier la conformité du traitement.

Des obligations étendues aux sous-traitants

Le règlement étend aux sous-traitants une large partie des obligations imposées aux responsables de traitement.

Ces nouvelles obligations constituent par conséquent une évolution importante pour de nombreux acteurs économiques, dont les éditeurs de sites internet, de réseaux sociaux, etc…

Il faudra donc être particulièrement attentif à la communication par la CNIL des lignes directrices qui devrait intervenir d’ici la fin de l’année.