Après plusieurs années de négociations, le Règlement européen 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données est finalement entré en vigueur le 24 mai 2016. Les entreprises auront jusqu’au 25 mai 2018 pour l’appliquer.
Directement applicable dans les pays de l’Union Européenne, ce règlement concerne l’ensemble des acteurs économiques : les entreprises, les associations, administrations, collectivités locales et syndicats des pays membres de l’UE.
Il réforme de manière globale les dispositions existantes en matière de protection des données personnelles et vise à harmoniser les différentes lois nationales des États membres.
En France, la collecte et le traitement des données personnelles font l’objet d’une protection spécifique depuis l’adoption de la loi informatique et libertés du 6 janvier 1978.
Si cette loi a déjà fait l’objet de modifications (notamment avec la directive européenne du 24 octobre 1995), le règlement du 24 mai 2016 prend davantage en compte les évolutions numériques de la société et leurs implications dans le traitement des données personnelles.
Le Règlement tend à renforcer les droits et le contrôle des citoyens sur leurs données personnelles. Les personnes dont les données personnelles sont collectées devront en effet être informées de façon claire de l’existence du traitement de ces données ainsi que sur ses finalités. L’expression de leur consentement est également encadrée : celui-ci doit être exprès et la personne concernée doit être en mesure de s’y opposer.
De façon plus novatrice, le Règlement accroit la responsabilité pesant sur les entreprises puisque les sanctions en cas de méconnaissance des règles sont considérablement alourdies. Celles-ci sont graduées pouvant aller du simple avertissement à une amende pouvant atteindre 4% du chiffre d’affaires mondial du responsable du traitement.