Le 24 janvier dernier, la Commission européenne a publié des "orientations visant à faciliter l'application des nouvelles règles en matière de protection des données dans toute l'UE à compter du 25 mai".
Des retards dans les pays de l'Union
Dans son communiqué, la Commission "demande aux gouvernements des États membres de l'UE et aux autorités de protection des données de se tenir prêts et d'apporter leur soutien".
"À un peu plus de cent jours de l'application de la nouvelle loi, les orientations soulignent les mesures que la Commission européenne, les autorités nationales de protection des données et les administrations nationales devraient encore prendre pour mener à bien les préparatifs.
Si le nouveau règlement fournit un ensemble unique de règles directement applicables dans tous les États membres, d'importants ajustements n'en resteront pas moins nécessaires pour certains aspects, comme la modification des législations existantes par les gouvernements des États membres de l'UE ou la mise en place du comité européen de la protection des données par les autorités de protection des données. Les orientations rappellent les principales innovations et perspectives découlant des nouvelles règles, prennent acte des préparatifs déjà engagés et mettent en exergue ce qui doit encore être accompli par la Commission européenne, les autorités nationales de protection des données et les administrations nationales."
Derrière cette formulation diplomatique point l'inquiétude de la Commission sur le retard pris par la plupart des États membres, sans parler des acteurs économiques (entreprises mais aussi secteur public). À l'heure actuelle, seules l'Allemagne et l'Autriche sont prêtes pour la pleine entrée en vigueur du RGPD au 25 mai.
C'est la raison pour laquelle la Commission publie ces orientations qui rappellent le chemin qui reste à parcourir dans tous les pays de l'UE.
Le retard français
Du côté français, il est certain qu'on peut au minimum constater quelques retards, notamment dans la réforme de la loi Informatique, fichiers et libertés de 1978 pour la mettre en harmonie avec le RGPD, dont les débats au Parlement commencent à peine (depuis le 6 février), ainsi que l'attente de la "liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise" que l'article 35, 4 du RGPD attend des autorités de contrôle, c'est-à-dire de la Cnil. Il serait temps que connaître cette liste pour que les entreprises puissent conduire en toute connaissance de cause lesdites analyses dans les délais, soit avant le 25 mai.
En savoir plus
Lire la communiqué complet du la Commission du 24 janvier 2018 :
http://europa.eu/rapid/press-release_IP-18-386_fr.htm
Voir la présentation des Orientations (en français) sur le site de la Commission :
https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_fr assortie de liens vers d'autres documents.
Lire les Orientations de la Commission relatives à l’application directe du règlement général sur la protection des données à partir du 25 mai 2018 :
http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX%3A52018DC0043&qid=1517578296944