Le règlement européen sur la protection des données personnelles (RGPD) du 27 avril 2016 vise à responsabiliser les acteurs des traitements de données en uniformisant les obligations pesant sur les responsables de traitements.
Contrairement à une directive, un règlement européen est directement applicable dans l'ensemble des Etats de l'Union européenne sans qu'une transposition soit nécessaire. Le même texte s'appliquera donc dans toute l'UE. Le règlement est applicable à partir du 25 mai 2018. A cette date, de nombreuses formalités auprès de la Commission nationale de l'informatique et des libertés (Cnil) vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.
" Que dit le RGPD ? Qu’un organisme doit maîtriser les données personnelles qu’il produit et mesurer l’impact potentiel de leur exploitation sur la vie privée. Pour cela, il doit tenir à disposition de la Cnil un registre de ces données et des mesures de sécurité adoptées, désigner un délégué à la protection des données (DPD) chargé de veiller au respect des procédures, et enfin renforcer le droit des personnes en recueillant leur consentement pour tout traitement d’information qui les concernent et en assurant la portabilité de leurs données."
La nouvelle réglementation fait du DPD le correspondant de la Cnil et "rend obligatoire son existence dans les organismes sociaux et médico-sociaux, non seulement en raison de la sensibilité des données personnelles qui y sont collectées, mais aussi par la durée de collecte qui peut s’étendre sur toute une vie."
(extrait article de Michel Paquet, Les ESSMS en peine face au nouveau règlement sur les données personnelles, TSA du 13/04/2018)
La ministre de la justice, Nicole Belloubet, a présenté lors conseil des ministres du 13 décembre 2017 un projet de loi relatif à la protection des données personnelles, pour mettre le droit national en conformité avec le nouveau cadre juridique européen. Le projet de loi supprime notamment le régime de déclaration préalable. Les responsables de traitement devront donc mener une analyse d'impact afin de mesurer le risque en matière de protection des données, et, le cas échéant, consulter la Cnil.
La Cnil propose sur son site web un ensemble d’outils de mise en conformité avec le RGPD, en particulier une méthodologie en 6 étapes pour se préparer et anticiper les changements. Cet accompagnement se poursuivra après le 25 mai, notamment à travers l’élaboration de référentiels qui permettront de décliner, dans un secteur d’activité précis, les grands principes de la réglementation. La conformité à certains de ces référentiels pourrait permettre un allègement des procédures, « notamment pour le traitement de données de santé », promet la Cnil.
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016