La question de savoir quels pays sont touchés par le PIBR est une question commune au PIBR. Le Règlement général sur la protection des données (RPDP) est un règlement de l’Union européenne (UE) qui a été accepté le 27 avril 2016. Le RGPD entrera en vigueur le 25 mai 2018. Bien qu’il s’agisse d’un texte législatif de l’UE, les institutions situées à l’extérieur de l’UE doivent être conscientes de ses implications et être sur leurs gardes pour éviter de l’enfreindre.
L’emplacement physique de l’organisation ne la dispense pas de faire face aux conséquences de la non-conformité ni ne la met à l’abri de celles-ci.
Les institutions ayant des bureaux dans un pays de l’UE ou qui collectent, traitent ou stockent les données personnelles de toute personne située dans un pays de l’UE sont tenues de se conformer à la RGPD. Comme les entreprises et autres organisations ont souvent une portée internationale, il est fort probable que votre entité sera tenue de se conformer à la RGPD – surtout s’il s’agit d’une entité qui opère ou offre des services via Internet.
Principaux pays touchés par le RGPD
Comme nous l’avons mentionné plus haut, le lieu physique de l’institution, de l’organisation ou de l’entreprise n’est pas aussi important pour déterminer la nécessité de se conformer au RPDG que le lieu physique de la personne concernée – la personne dont les données sont recueillies, traitées ou conservées. Nous avons déjà indiqué que la plupart des organisations seront assujetties à la RPDP ou touchées par celle-ci. Cela dit, les organisations situées au sein de l’UE verront probablement leurs pratiques changer dans une plus grande mesure. Logiquement, elles sont plus susceptibles de traiter une plus grande quantité de données appartenant à des personnes situées dans l’UE. Les organisations des pays suivants, les États membres de l’UE, seront probablement les plus touchées par la RGPD :
- Autriche
- Belgique
- Bulgarie
- Croatie
- République de Chypre
- République tchèque
- Danemark
- Estonie
- Finlande
- France
- Allemagne
- Grèce
- Hongrie
- Irlande
- Italie
- Lettonie
- Lituanie
- Luxembourg
- Malte
- Pays-Bas
- Pologne
- Portugal
- Roumanie
- Slovaquie
- Slovénie
- Espagne
- Suède
- Royaume-Uni
Comme le Royaume-Uni sera toujours membre de l’Union européenne lorsque le RGPD entrera en vigueur, le règlement sera absorbé dans le droit interne du Royaume-Uni en vertu de la clause 3 du projet de loi de l’Union européenne (retrait).
Le gouvernement britannique est également en train de débattre d’un nouveau projet de loi sur la protection des données qui est étroitement aligné sur le RGPD, à quelques exceptions mineures près (par exemple, le droit des individus de faire supprimer tous les affichages dans les médias sociaux depuis leur enfance) et à des exemptions (par exemple, l’exemption du projet de loi sur la protection des données pour les journalistes et les dénonciateurs dans certaines circonstances).
D’autres États membres de l’UE introduisent également leurs propres lois nationales pour compléter l’introduction du RGPD. La plupart d’entre elles correspondent étroitement aux exigences de la RGPD en matière de vie privée et de sécurité et, lorsqu’elles s’en écartent, les changements concernent principalement l’âge du consentement pour les enfants, la nécessité d’obtenir le consentement des employés avant de traiter leurs données, des restrictions mineures aux droits des individus et une extension des » catégories spéciales » lorsque cela est dans l’intérêt public.
Comment le RGPD affectera les pays non membres de l’UE
Le PIBR aura un impact global même si l’UE elle-même est relativement petite et localisée. Bien que les pays de l’UE soient les plus susceptibles de voir les changements les plus importants, les pays non membres de l’UE sont susceptibles de connaître des perturbations plus importantes à la suite de l’introduction du PIBR. Cela est dû au fait que les organisations situées au sein de l’UE sont plus susceptibles d’être préparées aux changements, car elles sont plus susceptibles d’être au courant de l’introduction de la RDPI.
Un grand nombre d’organisations situées à l’extérieur de l’UE ne sont toujours pas au courant du changement à venir ou sont d’avis qu’elles en sont exemptées ou qu’elles ne seront pas touchées.
Une différence sociologique est également en jeu : les sociétés situées hors de l’UE, comme les États-Unis (US) et d’autres, n’ont pas les mêmes attentes en matière de protection de la vie privée que de nombreuses sociétés de l’UE.
Des lois sur la protection de la vie privée sont en place pour certains types de données « sensibles », comme la Health Insurance Portability and Accountability Act (HIPAA), qui régit les informations sur les soins de santé, ou la Gramm-Leach-Bliley Act, qui concerne les informations financières ; mais les données « générales » ne bénéficient pas des mêmes protections.
Pour cette raison, seules les organisations et entreprises basées aux États-Unis qui ont la certification Privacy Shield pourront migrer des données depuis l’UE.
La nécessité de mettre en œuvre, de doter en personnel et d’exploiter des systèmes parallèles risque d’introduire une trop grande complexité et d’entraîner des coûts trop élevés pour que les organisations et les entreprises basées aux États-Unis puissent continuer à offrir leurs services sur le marché de l’UE. Une stratégie possible serait que les acteurs basés aux États-Unis adoptent une approche « tout ou rien » qui protège les données « générales » d’une manière actuellement réservée aux données « sensibles ». Cela pourrait permettre d’utiliser le même système pour se conformer à la fois à l’HIPAA, par exemple, et au RGPD. Pour l’instant, il n’est pas certain que de nombreux groupes américains tenteront cette stratégie.
Transfert de données en dehors de l’UE
Le RGPD impose des contrôles stricts sur les données transférées à des pays non membres de l’UE ou à des organisations internationales. Ces contrôles sont détaillés au chapitre V du règlement. Les données ne peuvent être transférées que lorsque la Commission européenne a estimé que la destination du transfert « assure un niveau de protection adéquat ».
Les transferts de données peuvent également avoir lieu dans des situations où l’entité destinataire peut démontrer qu’elle satisfait à ce « niveau de protection adéquat », sous réserve d’un réexamen périodique tous les quatre ans. Les protections nécessaires peuvent inclure :
- des clauses de protection des données approuvées par la Commission
- Accords juridiquement contraignants entre autorités publiques
- Certification approuvée par la Commission
- Des règles d’entreprise contraignantes qui sont appliquées par différentes entités au sein d’un même groupe
Le transfert de données est strictement réglementé afin d’offrir à chaque individu dans l’UE les mêmes protections et droits en vertu du droit communautaire, quel que soit le lieu de stockage ou de traitement des données. Cela a des implications importantes pour les organisations aux États-Unis qui collectent, traitent ou stockent les informations personnelles des personnes concernées dans l’UE. Les lois américaines sur la protection des données ne sont pas considérées comme suffisamment solides par l’UE pour assurer une protection adéquate, et seules les organisations certifiées en vertu de l’accord entre l’UE et les États-Unis sur le bouclier de protection de la vie privée seront conformes à la RGPD lorsqu’elle entrera en vigueur (des exceptions existent dans certaines circonstances).
Que signifie le RGPD pour moi ?
Nous avons vu ci-dessus une brève description des données concernées par la RGPD – les données personnelles d’un individu situé au sein de l’UE. Nous avons également abordé la question de savoir qui est concerné et comment les groupes de certains pays non membres de l’UE peuvent aborder la conformité au RGPD de manière efficace. Nous allons maintenant expliquer pourquoi la conformité est importante : l’amende maximale pour violation du RGPD peut atteindre 20 millions d’euros, ou 4 % du chiffre d’affaires annuel, selon le montant le plus élevé. La conformité est donc une question très importante.
Si certains groupes devront adapter leurs méthodes de traitement des données pour se conformer au RGPD, le règlement européen commun facilitera le traitement des données provenant de différents pays de l’UE.