Le nouveau règlement européen 2016/679 du 27 avril 2016 sur la protection des données personnelles modifie le régime juridique du traitement des données personnelles, et l'harmonise au niveau européen. Il sera applicable à compter du 25 mai 2018.

Toutes les entreprises sont concernées, quelle que soit leur taille ou leur forme juridique. Les données personnelles (définies comme les données permettant d'identifier directement ou indirectement une personne physique) sont partout qu'elles soient relatives aux salariés, aux clients, aux partenaires ou fournisseurs. Voici quelques changements incontournables à mettre en œuvre sous 18 mois.

La suppression de l'obligation de notification préalable du traitement à la Cnil. L'ancien système, lourd à gérer et peu efficace, a été remplacé par un système de "protection des données dès la conception" ("Privacy by design") : il s'agit de responsabiliser les entreprises et de les pousser à intégrer la protection de la vie privée dans leurs process internes.

• Le responsable devra mettre en place toutes les mesures techniques et organisationnelles nécessaires pour que les données soient traitées dans le respect des obligations légales : information des personnes concernées, durée de conservation des données limitée, proportionnalité des données recueillies eu égard à la finalité du traitement, sécurisation des données, etc. Pour se conformer à cette obligation, les entreprises pourront appliquer un code de conduite approuvé, ou mettre en place un mécanisme de certification. Il s'agit donc d'engager un programme de conformité, de le documenter et de l'actualiser au fil du temps.

Un "référent données"

• L'obligation de tenir à jour un registre recensant les traitements de données et leurs caractéristiques. Cette obligation s'impose aux entreprises de plus de 250 salariés, et à celles, quelle que soit leur taille, qui effectuent un traitement de données "non occasionnel" ce qui recouvre, en pratique, la plupart des traitements relatifs aux salariés ou aux clients. De plus, la tenue de ce registre apparaît comme l'une des étapes indispensables à la mise en œuvre du principe du "Privacy by design" évoqué plus haut, et semble devoir donc s'imposer à toutes les organisations.

• L'obligation de nommer un délégué à la protection des données (DPO). Cette désignation est obligatoire dès lors que le responsable met en œuvre  des traitements de données à grande échelle ou des traitements de données sensibles. En pratique, cette désignation est fortement conseillée pour les entreprises d'une certaine taille et pour les groupes. Le DPO, dont l'indépendance doit être garantie, a pour mission d'informer et de conseiller le responsable du traitement, de contrôler le respect de la loi et d'être l'interlocuteur de la Cnil, notamment en cas de contrôle.