Quel est l’équilibre général du règlement par rapport à la précédente directive 95/46 ?

Les grands principes de base et notamment de respect de la finalité du traitement, de proportionnalité des données traitées par rapport à la finalité, de limitation des durées de conservation, sont maintenus. Le principal changement par rapport à la loi de 1978 et par rapport à la directive de 1995, c’est l’approche par risque et la notion d’accountability. En droit français, il y a un régime de déclaration préalable (déclaration, autorisation, avis). Avec cette nouvelle notion, on tourne la page. Moins de formalités auprès des autorités de contrôle et donc davantage de liberté mais une responsabilisation des acteurs par l’obligation de rendre compte à tout moment de sa conformité aux personnes concernées et aux autorités de contrôle.

Le règlement instaure l’obligation, dans certains cas, de désigner un délégué à la protection des données, le data protection officer (DPO), dont les fonctions ne se recouperont pas exactement avec celles du correspondant informatique et libertés (CIL). Le G29 a identifié ce thème comme un sujet prioritaire de travail et devrait rendre un avis d’ici la fin de l’année.

Le champ territorial est-il modifié ?

La force de gravitation du règlement va permettre de mieux contrôler les traitements de données qui jusque-là échappaient partiellement au droit européen, notamment ceux des entreprises opérant dans le cyberspace sans établissement dans l’Union européenne.

Désormais, dès lors que les entreprises proposent des offres de biens ou de services, commerciales ou non, aux 500 millions de résidents européens ou qu’elles observent leurs comportements, le règlement leur sera applicable. Cela ne va pas tout résoudre mais c’est un pas décisif.