par Gabriel Avigdor

Si vous avez le sentiment de vous trouver, en tant qu’organisation, seuls perdus dans l’obscurité moins de 30 jours avant l’entrée en force du RGPD et ses implications globales et mondiales, n’ayez pas peur. Vous n’êtes pas seuls.

Sans surprise, dans un article paru sur le  site de l’IAPP, il est rappelé que si toutes les entreprises et organisations sont loins d’être prêtes pour la date butoir du 25 mai 2018, une vaste majorité d’Etats membres de l’Union Européenne n’est pas prête pour l’entrée en force du RGPD. Ces personnes morales publiques ou privées qui tombent champs d’application du RGPD, investissent de nombreuses ressources pour se préparer à être conformes au Réglememt 2016/679 ( ou ‘GDPR‘), chacune différentes approche et priorités.

La situation est similaire pour les Etats membres de l’UE. Il leur incombe, non pas de transposer le Règlement, mais d’intégrer et mettre en oeuvre dans leurs lois nationales sur la protection des données certaines dispositions essentielles. En Somme, il s’agit pour les pays européens de mettre en oeuvre leur propre implémentation du RGPD, dont plusieurs articles de ce Règlement imposent ou offrent aux pays européens la possibilité d’avoir des dispositions nationales particulières sur certains sujets. Ces pays doivent mettre en oeuvre ce processus législatif interne et décider d’adapter différemment ou non leurs lois en fonction de leur propre culture et système législatif spécifique. Comme les responsables de traitement et sous-traitants, les pays ont jusqu’au 25 mai 2018 pour le faire.

Tous les pays européens ne sont pas de bons élèves en la matière. A ce jour, seuls l’Allemagne, l’Autriche, la Belgique et la Slovaquie ont procédé à ces changements pour adapter leurs lois pour une entrée en vigueur avant ou synchronisée avec le 25 mai 2018. En janvier 2018, Věra Jourová, la Commissaire européenne pour la justice, indiquait que, malgré 2 pays (Allemagne et Autriche), 26 n’étaient pas prêt pour le RGPD. Dans une étude menée par le cabinet BakerMckenzie en 2018, datant de janvier 2018, 20 pays avaient soit publié ou planifié leur projet de modification de lois et soumis à leur Parlement, tandis que 5 pays (Bulgarie, Grèce, Malte, Portugal et Roumanie) n’avaient pas manifesté d’intention particulière d’implémenter le RGPD.

[edit 20.05.2018:] Le 18 mai 2018, une semaine seulement avant le RGPD, le quotidien en ligne “EU Observer” faisait état que ‘8 pays de l’UE ne seront pas prêts le jour J‘. Dans cet article, on apprend que certains le sont, ou on annoncé l’être, prêt dans à temps (Autriche, Allemagne, France, Croatie, les Pays-Bas, Suède et la Slovakie). D’autres devraient devraient adapter leur législation d’ici à la fin du mois de mai ou juin (Espagne, Italie, Portugal, Roumanie et la Lettonie),  alors que les suivants ne le seront pas:

• Belgique ;
• Bulgarie ;
• Chypre ;
• République Tchèque ;
• Grèce ;
• Hongrie ;
• Lituanie ; et la
• Slovénie.

________________________________

Le RGPD: un Règlement  harmonisé ?

Le RGPD, est un Règlement, ce qui signifie qu’il s’applique avec force exécutoire dès son entrée en vigueur à une même date dans tous les pays européens. Dans le cas du RGPD, il s’applique également au-delà de part sa composante extra-territoriale afin d’éviter que des entreprises avec une implantation en Europe ne sortent leurs entités pour éviter d’y être soumises. Le texte du RGPD fut approuvé par le Parlement européen le 14 avril 2016 et est entrée en vigueur le 24 mai 2016. Vu les changements et leurs impacts sur l’industrie et les organisation au niveau mondial, une sorte de  délai de grâce de 2 ans a été accordé avant que les autorités ne puissent la mettre en oeuvre. L’application et entrée en force de ce Règlement a été fixé au 25 mai 2018, date que tous le monde retient en général. Bien que le RGPD a été édicté sous la forme d’un Règlement qui s’applique partout, et au même moment, sans besoin de le transposer au niveau national, il existe de nombreuses dispositions qui offrent la possibilité pour les Etats membres de prévoir des exceptions et variations au texte dans leur droit national.

Malgré tout on est loi d’une loi harmonisée. Le mécanisme appelé ‘One-Stop-Shop‘, permet de n’utiliser qu’une seule autorité de contrôle de référence. Certes, il s’agit d’un Règlement, certes, mais il faut bien dire que création, au sein de l’Union, d’un marché unique pour les données, et la volonté de créer des règles identiques dans l’UE et au delà est un peu loin de la réalité et du but poursuivi, même si on doit lui laisser que la prise de conscience mondiale sur le respect de la vie privée a été considérablement augmentée.

Dans les faits, le RGPD contient plus de 70 dispositions appelées “clauses ouvertes” (en anglais “opening clauses“). Soit elles imposent une modifications au niveau national, soit elles offrent la possibilités aux pays européens de le faire (avec dès règles plus strictes, moins strictes ou plus détaillées) et adopter ainsi des exceptions. Les règles qui imposent une modification nationale traitent notamment des thèmes suivants: données personnelles et liberté d’expression ou sanctions et pénalités, tandis que les autres règles permettant de déroger au RGPD ont trait aux aspects suivants:

• consentement des mineurs ;
• données des employés ;
• notification des violations de données (data breach) ;
• designation d’un délégué à la protection des données (art- 38 ‘DPO’):
• (non-) reconnaissance des amendes administratives ;
• secret professionnel ;
• traitement de données à des fins scientifcques, historiques ou statistiques ;
• données de personnes décédées ;
• règles sur les catégories spéciales de données (ex. : données sensibles) ;
• règles pour les données génétiques, biométriques ou liées à la santé ;
• numéro d’identification nationale ou tout autre identifiant s’appliquant globalement ;
• etc.

Selon Christian Gemmin, de l’Université de Kassel en Allemagne, ces clauses ouvertes “risquent d’abaisser le niveau de protection des données” (run the risk of lowering the level of data protection“. Et il convient de noter, qu’en conséquence, le mécanisme de sanction prévu par le RGPD, que beaucoup utilisent à tort et à travers, ne s’appliquera pas de manière égale selon les pays européens. Cela sera vrai tant d’un point de vue de la manière de l’appliquer, de porter des affaires devant les autorités, de les faire exécuter que leur montant.

A titre d’exemple, en République Tchèque, les amendes administratives contre les autorités publiques ne seraient imposables qu’à hauteur de CZK 10 million, (environ EUR 358’000.-). Idem pour l’Estonie. La loi estonienne ne reconnaît pas le concept d’amende administrative et de telles amendes ne peuvent pas être imposées tel que prévu par le texte du RGPD, mais au travers d’autorités de protection des données (Data Protection Authority ‘DPA’). Pour l’Irelande, les entités puliques pourraient ne pas être sanctionnées par des amendes administrative pour violation du Règlement, sauf si elles agissent en tant qu’entreprises ! En janvier 2018, seules l’Allemagne et l’Autriche étaient conformes au RGPD.

Sur ce site, vous trouverez un tableau, apparemment mis à jour régulièrement, qui tient compte de l’évolution des droits nationaux européens en matière de protection des données en fonction du RGPD.

________________________________

Que peut-on tirer de ce retard des pays membres de l’UE ?

1. cela démontre un retard global, non seulement les entreprises, mais aussi les Etats qui peinent à suivre les exigences de mise en conformité. Il s’agit simplement d’une réalité pratique.
2. cela crée un incertitude et insécurité juridique pour le traitement des données personnelles sous le RGPD dans les pays qui ne sont pas prêts. Les organisations présentes ou qui sont actives dans ces pays non-conformes ne peuvent pas se préparer totalement au RGPD et doivent attendre.
3. cela crée une insécurité juridique pour les personnes dont les données sont traitées. Certes, il existe, dans certains cas, des mécanismes permettant d’agir devant d’autres autorités que dans son propre pays. Mais les procédures judiciaires devant les tribunaux ou autorités de contrôles devront opérer des ajustements pour que les personnes concernées agissent selon les prescriptions du RGPD et puissent exercer leurs droits, voire soumettre des plaintes selon les droits conférés par le RGPD. Tant que cela n’est pas fait, leurs droits ne pourront pas être exercés convenablement.
4. cela peut “ralentir l’application harmonieuse et cohérente pour la protection des données au sein de l’UE” (tel que l’explique cet article).
5. la Commission européenne pourrait saisir la justice contre un Etat membre de l’UE qui n’est pas prêt (à ce stade, tous les pays sauf l’Allemagne, l’Autriche, la Belgique et la Slovaquie) pour leur mettre la pression (déclaration de Věra Jourová en janvier 2018).

________________________________

Comment suivre les changements législatifs dans tous ces pays ?

Certains cabinets et études ont entrepris ce gros travail de veille législative globale pour l’implementation du RGPD dans les lois nationales pour chacun des Etats membres de l’UE. Voici une sélection des sites qui me paraissent utiles et intéressants à ce sujet :

• Latham and Watkins: ils offrent un document ainsi qu’une plateforme gratuite pour suivre cet avancée en ligne ici, qui a l’avantage d’apparaître dans une seule fenêtre de navigateur. Franchement, leur site est vraiment top.
• Bird&Bird: ils ne sont plus à découvrir. Depuis longtemps, ils ont mis une espace de suivi législatif pays par pays.
• ReedSmith: dans leur article, on trouve un tableau contenant les changements en cours pour chaque pays ainsi qu’une liste des différences par pays.
• Nymity Inc.: cette organisation européenne, fameuse pour offrir des outils, logiciels pour protéger la vie privée et des supports et cadre pour l’implémentation au RGPD. Ils ont développé un outil de suivi, lequel apparaît être payant.
• Un blog sympathique irlandais du Prof. Eoin O’Dell: mis à jour le 25 avril 2018, avec l’avancée pour chaque pays et d’autres liens.

__

Par Gabriel Avigdor | Ntic.ch