Droit des données personnelles : attention, changement en vue !
Le cadre juridique relatif au traitement de ces données n’est pas neuf, puisque la loi relative à l’informatique, aux fichiers et aux libertés a été promulguée en janvier 1978. Autant dire que les repères ont changés et que les technologies se sont complexifiées depuis.
Devenu un sujet majeur du marché numérique européen, ce règlement voté en avril dernier (n°2016/679, dit « Règlement Général sur la Protection des Données » entrera en vigueur d’ici deux ans (le 25 mai 2018), et deviendra la nouvelle norme de référence en ce domaine. L’une des nouveautés primordiale est de placer l’entreprise au centre du jeu, avec une internalisation des fonctions de contrôle de la protection des données à caractère personnel, rôle jusqu’ici dévolu aux autorités compétentes. Un délégué à la protection des données sera nommé sous certaines conditions, un registre sera tenu dans les entreprises de plus de 250 salariés, etc.
Mais au-delà de ces nouvelles fonctions au sein de l’entreprise, l’objectif est d’impliquer l’ensemble des services (commerce, marketing, ingénierie) au sujet des données personnelles. A compter de ce moment, tout projet de service, de produit devra, dès sa conception, inclure la dimension de la protection des données personnelles dans son mode de fonctionnement (réalisation d’étude d’impact, contrôle interne du respect de la réglementation, ergonomie favorable au paramétrage des clients, etc.). Cette nouvelle réglementation, nécessitera donc une mobilisation de tous les instants et ce, à tous les niveaux de l’entreprise, notamment au regard des sanctions accrues en cas de non-respect de ce Règlement Général sur la Protection de Données.
Pour accompagner ces mesures faisant du monde professionnel la cheville ouvrière de la protection des données personnelles, incluant comme indiqué un changement radical dans la conduite de leurs activités, il apparaît utile de s’interroger sur le mode de collaboration qui pourrait se nouer entre les entreprises et les autorités de contrôle. Celles-ci auraient pour but de maintenir un niveau optimal de protection des droits des personnes dont les données sont collectées, et une visibilité, une sécurité juridique, pour les entreprises. Une amélioration de la collaboration avec les autorités publiques (consultations, réunions) et l’instauration d’un dialogue, par exemple en distinguant les activités des entreprises (marketing, santé, communications électroniques, etc.), qui n’ont pas toutes le même rapport d’intérêt avec les données à caractère personnel, serait une manière de dépassionner le sujet des données personnels et d’instaurer une relation apaisée entre les entreprises et leurs clients basée sur une confiance contrôlée. Les documents comme des recommandations, avis, et décisions permettraient alors aux entreprises de mettre en place les bonnes pratiques nécessaires à l’accomplissement de leurs missions et obligations, en limitant les impacts sur leur performance économique.
C’est donc une nouvelle réglementation européenne qu’il faudra appréhender du côté des entreprises, et surtout pour celles appartenant au domaine des TIC, afin d’accompagner et de sensibiliser leurs collaborateurs vers de nouvelles pratiques au service du développement de la confiance dans l’économie numérique.
