À partir du 25 mai 2018, une nouvelle loi affectera grandement la manière dont les entreprises de technologie de l’information se conforment à la collecte et au traitement des données personnelles. Cette loi rgpd, le Règlement général sur la protection des données, est en fait une loi de l’Union européenne, mais elle pourrait avoir des effets de grande portée au-delà des frontières européennes, car les entreprises basées aux États-Unis devront se conformer au nouveau règlement lorsqu’elles feront des affaires dans l’UE.
Au-delà de l’Europe, la loi s’appliquera également à toute entreprise dont le traitement des données est lié à l’offre de biens et de services aux personnes basées dans l’UE ou à la surveillance du comportement en ligne – y compris le suivi utilisé pour le marketing axé sur les intérêts – au sein de l’UE. Cette mesure est d’une grande portée et touchera la plupart des sociétés de technologie de l’information et leurs clients dans le monde entier.
Cette loi remplace une loi antérieure, la directive européenne sur la protection des données, qui ne s’appliquait qu’aux entités qui traitaient des données personnelles sur des équipements situés dans l’UE. Une fois promulguée, le RGPD s’appliquera à toute entreprise qui utilise des données pour offrir des biens et des services ou qui utilise des données pour suivre le comportement en ligne au sein de l’UE, quel que soit le lieu où elle se trouve.
Le RGPD contient bon nombre des dispositions de base de la directive originale, mais elle comporte des changements qui auront un impact significatif sur la manière dont les entreprises traitent les données personnelles. Selon le RGPD, le traitement des données devra se conformer à six principes et satisfaire à au moins une condition de traitement.
En bref, ces conditions sont les suivantes : Les données doivent être traitées de manière transparente (le consentement doit être donné), collectées et utilisées pour une finalité spécifique et uniquement cette finalité, tout en conservant ces données de manière précise et sûre jusqu’à ce que la finalité spécifique de leur utilisation ait expiré. Elles doivent ensuite être supprimées.
Les conditions permettant le traitement des données comprennent le consentement personnel, qui est nécessaire à l’exécution d’un contrat, au respect d’une obligation légale, à la protection des intérêts vitaux d’une personne ou à l’accomplissement d’une tâche par l’entité détentrice des données.
Certaines de ces conditions de traitement peuvent être assez onéreuses. Si nous examinons le consentement, selon l’article 7 du RGPD, le consentement requiert une démonstration spécifique du consentement par le collecteur de données, une collecte utilisant une distinction claire et évidente par rapport à d’autres questions, une disposition permettant à la personne concernée de retirer son consentement à tout moment, et la preuve que les données sont conditionnées ou nécessaires à l’exécution d’un contrat ou à la fourniture d’un service.
En plus des droits énoncés dans le RGPD, les personnes seront protégées par des droits supplémentaires, notamment le droit d’être oublié, le droit de restreindre le traitement, le droit de s’opposer ou de limiter la collecte de certains types de données et le droit à la portabilité des données.
Bien qu’il s’agisse d’une loi européenne, le RGPD a une grande portée et aura un impact considérable sur les entreprises américaines qui font des affaires dans l’UE. Plus précisément, les entreprises américaines doivent d’abord déterminer si une partie de leurs activités se déroule ou non dans l’UE. Comme mentionné ci-dessus, cela inclut l’utilisation du traitement des données, qui concerne l’offre de biens et de services aux personnes basées dans l’UE ou la surveillance du comportement en ligne. Ensuite, elles devront déterminer si leurs activités actuelles sont conformes aux détails énoncés dans le RGPD.
Pour ce faire, il est logique que les entreprises nomment un délégué de la protection des données qui pourrait assurer le respect des dispositions du RGPD en réexaminant les relations de l’entreprise avec tous ses clients existants, en s’assurant que des mécanismes tels que les politiques internes, les politiques externes et les accords avec les fournisseurs sont en place pour honorer le retrait du consentement, en examinant et en mettant à jour toutes les relations contractuelles afin que ces relations adhèrent également du RGPD, en s’assurant que les programmes de sécurité et de confidentialité existants sont conformes et en déterminant si les exigences étatiques, fédérales et internationales sont compatibles avec le RGPD.
Il est clair que le RGPD fait passer l’adhésion aux lois américaines sur la vie privée pour une promenade de santé. Le RGPD est beaucoup plus détaillée et exige une conformité beaucoup plus grande que les lois américaines sur la protection de la vie privée. Alors que le RGPD est une loi globale sur la protection des données, la législation américaine actuelle sur la protection des données est constituée d’un patchwork de lois qui se chevauchent et parfois se contredisent.
Il y a la Federal Trade Commission Act, une ancienne loi qui interdit de manière générale mais non spécifique les pratiques commerciales déloyales ou trompeuses. Il y a la loi sur la modernisation des services financiers, qui régit la manière dont les informations financières sont collectées et utilisées, la loi sur la portabilité et la responsabilité de l’assurance maladie, qui régit l’utilisation des informations médicales personnelles, et la loi sur les rapports de crédit équitables, qui régit la manière dont les informations de crédit d’une personne sont utilisées par un prêteur ou une société de carte de crédit. Cependant, la loi américaine la plus proche du RGPD est peut-être la loi sur la protection des communications électroniques, qui réglemente la collecte, l’interception et l’utilisation des données transmises entre l’ordinateur connecté à Internet d’une personne et son fournisseur d’accès à Internet ainsi que les entités publicitaires.
Si toutes ces lois ont certainement un but, elles ne sont, en général, pas du tout aussi spécifiques que le RGPD, qui traite de la plupart des éléments de l’utilisation des données personnelles. D’une certaine manière, l’approche plus rigide de le RGPD simplifie les questions relatives aux données et à la vie privée dans le monde des affaires, qui est désormais résolument mondial.
Il est clair que le RGPD n’est pas une loi américaine, mais ce n’est certainement pas quelque chose que les entreprises qui font des affaires à l’étranger – essentiellement n’importe quel commerce en ligne – peuvent se permettre d’ignorer, et les clauses contractuelles types leur seront ainsi bien utiles. En fait, c’est peut-être le facteur qui contribue à simplifier et à uniformiser les règles du jeu pour les entreprises et les consommateurs qui font des affaires avec ces entreprises.
Pour en savoir plus sur la protection des données personnelles et la conformité au RGPD, consultez notre page dédiée à : avocat spécialisé RGPD.
