International

Protection des données personnelles: Dernière ligne droite pour le nouveau règlement

Par Fatim-Zahra TOHRY | Edition N°:5273 Le 16/05/2018 | Partager
Il entrera en vigueur le 25 mai prochain
Les entreprises marocaines sont concernées aussi
protection_des_donnees_personnelles_073.jpg

Le nouveau règlement européen sur la protection des données personnelles (RGDP) entrera en vigueur le 25 mai 2018. Ses effets se feront sentir à travers le monde y compris aux Etats-Unis et en Chine et notamment au Maroc. En effet, l’autorité chargée de la protection de la vie privée (CNDP) joue à l’éclaireur en mettant en ligne un guide à disposition de ses usagers (cf. notre édition N°5232 du 19/03/2018). Toute entreprise traitant des données personnelles d’Européens est obligée de l’appliquer.

■ Premiers dispositifs: Les grandes plateformes américaines (Facebook, Twitter, AirBnb…) ont commencé à notifier à leurs utilisateurs européens des modifications de leurs conditions d’utilisation, pour être conformes à la législation européenne. Après le scandale Cambridge Analytica, Facebook a indiqué avoir suspendu environ 200 applications sur sa plateforme dans le cadre d’une enquête sur le recueil des données personnelles de ses utilisateurs. De son côté, Google s’y est préparé en envoyant des emails à ses utilisateurs pour les informer de l’évolution de sa politique de confidentialité. En fait, les grandes plateformes doivent notamment s’assurer qu’elles ont obtenu un consentement de leurs utilisateurs pour leurs données personnelles.
■ Des avantages pour les citoyens: La réforme les dote d’instruments leur permettant d’acquérir la maîtrise de l’utilisation qui est faite des données à caractère personnel les concernant. Neuf Européens sur dix s’inquiètent du fait que des applications mobiles collectent leurs données à caractère personnel sans leur consentement (source: site de la commission européenne). Et sept sur dix ont exprimé leur crainte quant à l’utilisation que les entreprises pourraient faire des informations divulguées. Les nouvelles règles répondent à ces préoccupations par: Un «droit à l’oubli numérique»,  «un accès plus aisé à ses propres données», «le droit d’être informé en cas d’accès non autorisé à ses données personnelles» outre «la protection des données dès la conception et par défaut».
■ Une protection spécifique pour les enfants: Le règlement reconnaît que les enfants méritent une protection spécifique de leurs données personnelles. Car ils peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données à caractère personnel. Par exemple, ils bénéficient d’un droit plus clair à l’oubli numérique. S’agissant des services de la société de l’information qui sont directement proposés à un enfant, le règlement prévoit que le consentement au traitement des données de l’enfant doit être donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de cet enfant. Il appartient aux Etats membres de fixer l’âge limite jusqu’auquel une autorisation parentale est nécessaire, entre 13 et 16 ans.
■ Ce que gagneraient les entreprises: La réforme apporte clarté et cohérence en ce qui concerne les règles à appliquer et rétablit la confiance du consommateur. Ce qui permettra aux entreprises de tirer pleinement parti des possibilités offertes par le marché unique numérique. Objet de collectes, d’analyses et de transferts à l’échelle planétaire, les données à caractère personnel ont acquis une énorme importance économique. Selon certaines estimations, la valeur des données à caractère personnel des Européens est susceptible d’augmenter pour atteindre près de 1.000 milliards d’euros par an d’ici à 2020. En renforçant les normes élevées de l’Europe en matière de protection des données, les législateurs sont en train de créer des débouchés commerciaux.
■ Et les PME: La réforme de la protection des données vise à stimuler la croissance économique en réduisant les coûts et les lourdeurs administratives pour les entreprises européennes, notamment pour les petites et moyennes entreprises (PME). En instaurant une réglementation unique, la réforme aidera les PME à percer sur de nouveaux marchés. Dans un certain nombre de cas, les obligations des responsables du traitement et des sous-traitants sont calibrées en fonction de la taille de l’entreprise et/ou de la nature des données traitées. Par exemple: les PME n’auront pas à désigner de délégué à la protection des données. Ils n’auront pas à consigner leurs activités de traitement et n’auront pas à signaler toutes les violations de données aux personnes physiques.

Cas pratiques

■ La France
L’Assemblée nationale en France a adopté définitivement, lundi 14 mai 2018, le projet de loi renforçant la protection des données personnelles. Tous les groupes, à l’exception des communistes et des insoumis qui se sont abstenus, ont approuvé cette révision de la loi Informatique et libertés de 1978. Celle-ci était rendue nécessaire par l’entrée en vigueur le 25 mai du paquet européen de protection des données. A noter que la Commission Nationale Informatique et Libertés (CNIL) et Bpifrance se sont associés pour accompagner au travers d’un guide pratique les TPE et PME dans leur appropriation du règlement européen.

■ Le Maroc
S’il est certain que le Règlement vise en premier lieu les sociétés établies sur le territoire de l’Union, son champ territorial est étendu et peut concerner directement les entreprises établies et exerçant leur activité au Maroc. Celles-ci seront soumises au RGPD dans deux situations. Une application directe compte tenu de la nature du traitement et du lieu d’établissement des personnes concernées ainsi que par le jeu des contraintes imposées aux responsables de traitement européens qu’ils répercuteront sur leurs sous-traitants hors UE, au Maroc (voir détail dans la Tribune «Nouveau règlement européen pour la protection des données personnelles: Les entreprises du Maroc sont concernées aussi», cf. notre édition N° 5148 du 15/11/2017).

                                                                               

Les sanctions

Le règlement général sur la protection des données prévoit des sanctions et des amendes. Il fixe deux plafonds d’amendes en cas de non-respect des règles. Dans le premier cas, les amendes pourront s’élever jusqu’à 10 millions d’euros ou, pour une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial. Cette première catégorie d’amendes pourrait être applicable, par exemple, si un responsable du traitement n’effectue pas les analyses d’impact requises par le règlement. Dans le deuxième cas, les amendes pourraient atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Cette catégorie d’amendes pourrait être applicable, par exemple, en cas de violation des droits conférés par le règlement aux personnes concernées. Les amendes sont adaptées au cas par cas, en fonction des circonstances.

 

Retrouvez dans la même rubrique

  • SUIVEZ-NOUS:

  • Assabah
  • Atlantic Radio
  • Eco-Medias
  • Ecoprint
  • Esjc