(Règlement Général sur la Protection des Données Personnelles)
La Nouvelle-Calédonie est-elle concernée ?
Le récent scandale concernant la divulgation de données personnelles par le réseau social « Facebook », a vivement relancé le débat sur la protection des données personnelles. Ces révélations font directement écho à la réforme instaurée par le Règlement européen sur la protection des données personnelles, dit RGPD, applicable au 25 mai 2018 dans l’Union européenne. Les utilisateurs revendiquent plus de protection et de transparence, invitant la future réglementation européenne à servir de modèle, y compris sur le plan international. Mark Zuckerberg a lui-même annoncé une série de mesure, dont une partie consisterait à se soumettre aux contraintes prévues par le RGPD.
Qu’est-ce que le RGPD ?
Le « RGPD », a été adopté le 14 avril 2016, et n’est entré en vigueur que le 24 mai 2016 avec une mise en application prévue au 25 mai 2018. Cette règlementation, que l’Etat prévoit d’étendre à la Nouvelle-Calédonie est un texte crucial pour la protection de la vie privée. L’objectif de cette nouvelle réglementation est d’assurer un cadre renforcé et harmonisé de la protection des données, en tenant compte des évolutions technologiques. Le RGPD va bouleverser les grands principes issus de la loi Informatique et Libertés de 1978, qui elle est encore applicable en Nouvelle-Calédonie. Il s’appuie notamment sur une responsabilisation des acteurs traitants les données, qu’il s’agisse d’entreprises ou d’entités publiques responsables de traitements.
Quelles sont les nouveautés instaurées par le RGPD ?
Le RGPD met en place des nouvelles obligations à la charge des personnes responsables du traitement des données afin d’assurer de nouveaux droits, parmi lesquels peuvent être cités le droit à l’effacement, le droit à la limitation du traitement ou encore la portabilité des données. Une obligation de notification des failles de sécurité est instaurée, notification qui doit être adressée à l’autorité de contrôle et à la personne concernée dans les 72 heures, si la faille relevée est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Le RGPD instaure l’obligation d’établir un registre des activités de traitement qui sera imposé à de nombreuses entreprises, ainsi que la désignation d’un « DPO », c’est-à-dire une personne spécifiquement déléguée à la protection des données. Enfin, la mise en œuvre d’une étude d’impact deviendra obligatoire dans de nombreux secteurs. Des sanctions dissuasives ont été prévues afin d’assurer une mise en œuvre efficace de la règlementation : sanction pouvant atteindre 4% du chiffre d’affaires annuel ou 20 millions d’euros. Pour éviter ce type de difficultés, il est préconisé de préparer son dossier en amont, éventuellement avec l’assistance de l’association d’aide aux victimes ou d’un avocat, qui saura vous conseiller.
Ce règlement a-t-il vocation à s’appliquer en Nouvelle-Calédonie ?
Le RGPD a vocation à s’appliquer en Nouvelle-Calédonie, le législateur européen ayant souhaité inclure le plus grand nombre d’entreprises traitant des données personnelles, y compris en dehors de l’Union européenne. Le RGPD dispose d’un champ d’application étendu par l’application de plusieurs critères. Notamment, l’article 3 du RGPD définit le champ territorial d’application du RGPD au « traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement responsable […] que le traitement ait lieu ou non dans l’Union ». Il peut également s’appliquer « au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union […] ».
L’application du RGPD dépend donc de deux critères de rattachement
1- Le critère de l’établissement : lorsque le responsable de traitement ou le sous-traitant est établi dans l’Union européenne, le règlement s’appliquera de plein droit que le traitement ait lieu ou non dans l’Union.
2 – Le critère du ciblage : lorsque le responsable du traitement est établi en dehors de l’Union européenne mais que ses activités de traitement concernent l’offre de biens ou services à des personnes concernées qui se trouvent sur le territoire de l’Union européenne.
En Nouvelle-Calédonie, le RGPD trouvera application essentiellement par ce second critère du ciblage, notamment lorsqu’une entreprise aura à traiter des données concernant des personnes situées dans l’Union européenne, que le traitement ait lieu ou non au sein de l’Union européenne.
Par Ophélie DESPUJOLS, Avocate au sein de la Selarl d’Avocats ROYANEZ