RGPD : Entrée en application pleine et entière

Depuis le temps qu'on l'annonçait, voici venu le jour de la pleine entrée en vigueur du RGPD.

Quelques rappels de technique juridique

Il convient d'être précis. Contrairement à ce que tout le monde répète, le Règlement général sur la protection des données ou RGPD est entré en vigueur le 25 mai… 2016 !

Le dernier article de ce texte publié le 4 mai 2016, l'article 99 dispose en effet dans son point 1 :
"1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne."

La suite du texte précise :
"2.   Il est applicable à partir du 25 mai 2018."

En d'autres termes, le RGPD est dans le droit positif de tous les États de l'UE depuis 2 ans, MAIS il était laissé 2 années aux "sujets de droit" soit à la fois les États et les acteurs économiques, pour se mettre en conformité.

Un point rapide sur le droit en vigueur et les règles à venir

Il serait faux de croire que le RGPD constitue l'aboutissement indépassable de la protection des données personnelles dans l'Union européenne.
Ainsi que nous l'avons déjà signalé (notre actualité du 6 février dernier), la situation est plus complexe.

Voici rapidement brossé le tableau du droit qui reste à venir en matière de données à caractère personnel.
Le droit à venir comporte principalement, outre le RGPD applicable ce jour :

  • Du paquet "données personnelles" qui se compose :
    • De la loi de 1978 révisée, qui sera ultérieurement codifiée pour intégrer tous les textes non issus des règlements européens ;
    • Du futur Règlement "vie privée et communications électroniques" qui devait lui aussi être promulgué et en vigueur au 25 mai 2018 et remplaçant la directive de 2002, complémentaire de celle de 1995 en matière de communications électroniques.
  • À cela s'ajouteront des décrets d'application ainsi que des textes cadres que la Cnil doit élaborer et publier conformément au RGPD, notamment "liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise" visée à l'article 35, 4 du RGPD et qu'on attend toujours malgré l'entrée en application du Règlement.

Pour ce qui est de la révision de la loi de 1978, elle a été adoptée définitivement par l'Assemblée nationale le 14 mai dernier, mais fait l'objet d'une saisine du Conseil constitutionnel, qui rappelons-le dispose d'un mois maximum pour statuer. La loi devrait donc être promulguée dans les jours qui viennent. 
Quant au Règlement "vie privée et communications électroniques", il est toujorus dans les méandres de la procédure législative européenne, en fin de circuit...

Pour comprendre : une fiche technique et la série "Le RGPD en synthèses"

Pour faciliter la compréhension du RGPD, nous avons entamé une série de fiches courtes "Le RGPGD en synthèses" (voir notamment l'épisode 3) à suivre. Nous publions également ce jour, dans les articles de fond, une nouvelle fiche technique : "Le RGPD et les données à caractère personnel" qui remplace l'ancienne fiche sur Les Données à caractère personnel sous l'empire de la loi du 6 janvier 1978 mise à jour jusqu'en 2013.

Consulter le RGPD sur EUR-Lex :
http://eur-lex.europa.eu/legal-content/FR/ALL/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FRA

Toutes nos actualités sur le RGPD.

 

Didier FROCHOT