Nouveau règlement européen sur la protection des données personnelles : ce qui change pour les « startups » brésiliennes
Par Gabriela Greco de Marco Leite et Ali Bougrine
Le nouveau règlement général européen sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai 2018. Les trois objectifs principaux de ce règlement sont :
- le renforcement des droits des personnes avec la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
- la responsabilisation des acteurs traitant des données (responsables de traitement et sous-traitants) ;
- la régulation des données grâce à une coopération renforcée entre les autorités de protection des données, qui pourront adopter des décisions communes lorsque ces traitements seront transnationaux. De plus, les sanctions relatives aux traitements des données seront renforcées.
En ce qui concerne plus spécifiquement les « startups » brésiliennes, le nouveau règlement apporte deux principaux changements :
- l’obligation de demander le consentement des utilisateurs pour l’usage de données lorsque celui-ci n’est pas lié à l’activité principale de l’entreprise ; et
- le renforcement de la sécurité relative aux informations traitées.
Les entreprises doivent désormais se documenter sur les informations à demander aux utilisateurs, expliciter la raison de ces demandes, la durée de la conservation de l’information ainsi que les mesures de sécurité s’y rapportant. Concernant, les plus grandes entreprises, c’est-à-dire celles qui pratiquent la « surveillance systématique et régulière », la nomination d’un directeur responsable de la protection des données est désormais nécessaire. De plus, les « startups » doivent à présent, lorsqu’elles ont connaissance de la situation, communiquer aux utilisateurs dans un délai de soixante-douze heures les informations concernant l’utilisation des données. Force est de rappeler que cette disposition n’est pas prévue par la législation brésilienne.
En outre, les amendes en cas de non-respect de la législation peuvent s’élever à plus de vingt millions d’euros, ou encore représenter 4% des revenus annuels de l’entreprise. Par ailleurs, au Royaume-Uni « Information Commissioner’s Office », organisme public indépendant chargé de promouvoir le droit à l’information pour le public ainsi que la protection des données personnelles, a récemment publié un guide à destination des startups sur les douze étapes à suivre pour se conformer aux obligations du nouveau règlement européen.
La première étape est relative au devoir d’information. Autrement dit, dans un premier temps, les employés des entreprises concernées doivent se renseigner sur l’impact du RGPD sur leurs activités. Puis, dans un second temps, les entreprises doivent se renseigner sur les données qu’elles détiennent sur leurs clients ainsi que sur l’identité des personnes ayant accès à ces données. Une étape non prévue par l’autorité britannique consiste à effectuer une revue des communications de confidentialité afin de les adapter de la nouvelle réglementation. Par conséquent, il appartient aux entreprises de s’assurer que les utilisateurs aient la possibilité de recevoir ou de supprimer ces données dans un délai d’un mois.
Dans ce contexte, il paraît important d’étudier la nouvelle réglementation de manière à ce que les activités de l’entreprise soient conformes à celle-ci. De plus, il convient pour les startups concernées de se renseigner sur l’autorité nationale responsable de la protection des données, notamment pour celles présentes dans plusieurs pays.
S’il est vrai que la nouvelle réglementation européenne offre de nouvelles opportunités pour les « startups », il convient toutefois, pour celles-ci de se mettre en conformité avec ce règlement Ainsi, les cabinets d’avocats qui agissent dans le domaine du droit européen ont un rôle important à jouer dans cette mise en conformité.