LE RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES : Malédiction ou bénédiction ?


L'objectif premier du RGPD est d'uniformiser le droit de la protection des données des différents États membres, qui manque de clarté.
Un autre objectif sera la protection des données en Europe en raison des défis croissants posés par le cloud computing, le big data, les médias sociaux et les moteurs de recherche.
Dans ce contexte, la protection des droits fondamentaux des individus doit être au premier plan de la modernisation.
Le champ d'application du RGPD
Les entreprises doivent désigner un délégué à la protection des données dans la mesure où leurs activités nécessitent une observation étendue, systématique et régulière des personnes concernées.
Le traitement, par exemple, de données particulièrement sensibles (telles que des données relatives à la santé) conformément à l'article 9, paragraphe 1, du RGPD ou de données relatives à des condamnations pénales ou à des infractions conformément à l'article 10, paragraphe 1, du RGPD, nécessite également un délégué à la protection des données.
Cela signifie pour les entreprises en Allemagne : il n'y aura probablement aucun changement dans les conditions actuelles de désignation d'un délégué à la protection des données. Mais ce qui est important, c'est la nouvelle obligation du délégué à la protection des données de veiller au respect du RGPD.
Il en résulte également un risque de responsabilité sensiblement plus élevé pour les entreprises. Voilà donc les principes du RGPD - mais pourquoi le nouveau cadre réglementaire est-il si mal noté dans les critiques ?
Les clauses d'ouverture diluent l'objectif d'uniformisation
Les 99 articles du RGPD européen contiennent, outre des directives pour les entreprises et les autorités publiques, des clauses dites d'ouverture. Celles-ci permettent aux États membres de conserver les règles existantes en matière de protection des données ou d'en adopter de nouvelles.
De ce fait, il peut à nouveau y avoir des réglementations très différentes dans tous les États membres européens, malgré l'uniformité du règlement de base. L'Union européenne est donc loin d'avoir une pratique juridique uniforme à l'échelle européenne, car le RGPD contient plus de 70 de ces clauses d'ouverture - qui ne sont toutefois autorisées que pour certains thèmes.
Une autre critique majeure est que, dans de nombreux cas, le nouveau règlement ne donne que des réponses très abstraites. Il s'agit notamment de savoir ce qu'il faut entendre par "capacité de charge" en tant qu'objectif de protection à l'article 32, paragraphe 1, point b), et comment définir la "capacité de charge".
Comment l'économie, les autorités et les tribunaux doivent-ils se comporter concrètement en matière de protection des données ?
Alors que de nombreuses directives sont définies et rédigées de manière très précise, d'autres ne sont que sommairement esquissées. Ainsi, dans quelques cas, le patchwork en matière de protection des données en Europe risque de perdurer.
Big Data, Cloud et autres ? Pas de chance !
Mais ce qui irrite le plus les experts, c'est que les nouvelles réglementations européennes ne répondent pas explicitement aux véritables défis et risques liés aux technologies de l'information.
Le big data - c'est-à-dire le flux de données et sa maîtrise -, les moteurs de recherche, le cloud computing et d'autres applications technologiques modernes ne sont pas explicitement mentionnés dans les 99 articles.
Comme c'était déjà le cas dans la loi fédérale sur la protection des données (BDSG), les règles du RGPD doivent être extraites d'articles individuels.
Quelles sont les règles applicables ?
Pour les employeurs, il est important de savoir que l'article 32 de la loi fédérale sur la protection des données sera probablement maintenu. Il stipule que les données personnelles d'un employé peuvent être collectées, traitées ou utilisées aux fins de la relation de travail.
L'article 88, paragraphe 1, du RGPD est la raison du maintien éventuel de la réglementation. Celui-ci contient une clause d'ouverture décrite ci-dessus. Ainsi, des règles plus spécifiques sur la protection des données dans le contexte de l'emploi peuvent être créées par le législateur national lui-même.
En outre, la possibilité de traiter des données à caractère personnel sur la base d'une convention collective subsistera également. Il s'agit alors des accords d'entreprise et des conventions collectives.
La bonne pratique en matière de ressources humaines, qui consiste à utiliser l'accord d'entreprise comme motif d'autorisation pour le traitement des données, pourra donc continuer à exister.
Mais il peut aussi arriver que des accords d'entreprise doivent être rédigés à nouveau pour répondre aux exigences du RGPD.
Conclusion
Un grand projet qui n'atteint pas tout à fait les objectifs qu'il s'est fixés. Le RGPD est certes encore loin d'être uniforme dans l'ensemble de l'espace européen, mais il indique la direction à prendre à l'avenir.
Certaines formulations abstraites du RGPD ne permettent certes pas une application juridique sûre à cent pour cent, mais elles comblent des lacunes juridiques du passé.
509584528, Billion Photos L'absence de nouveautés techniques explicitement mentionnées dans le RGPD est malheureusement une lacune qui aurait dû être évitée. Dans l'ensemble, le RGPD est un pas dans la bonne direction, mais ce n'est que le début d'un long chemin.