Le règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données qui a été adopté le 14 avril 2016 par le Parlement européen a été publié le 4 mai 2016 au journal officiel de l’Union européenne.

Il entrera donc en vigueur le 25 mai 2018 directement en droit interne sans qu’il soit nécessaire pour les Etats membres d’adopter une loi de transposition et remplacera par conséquent à compter de cette date la directive 95/46/CE du 24 octobre 1995 actuellement en vigueur.

Ce règlement a pour vocation de renforcer le droit des personnes concernées, de simplifier les formalités administratives et de responsabiliser les responsables de traitement et les sous-traitants.

A ce titre, le règlement instaure de nouveaux droits pour les personnes concernées (portabilité, limitation du profilage, etc.), consacre le droit à l’oubli et renforce l’information permettant de recueillir le consentement éclairé d’une personne concernée.

En outre, l’un des éléments les plus novateurs du règlement est la suppression de l’obligation de notification préalable auprès de l’autorité de contrôle et la mise en place d’un guichet unique permettant de réaliser l’ensemble des formalités prévues par le règlement (Binding Corporate Rules, clauses contractuelles types etc.).

En contrepartie, le règlement instaure de nouvelles obligations soit à la charge uniquement du responsable de traitement (obligation d’effectuer une analyse d’impact pour certains traitements), soit à la charge uniquement du sous-traitant (obligation d’obtenir l’autorisation préalable du responsable de traitement pour recourir à un autre sous-traitant), soit à la charge des deux (obligation de tenir un registre des traitements, obligation de désigner un délégué à la protection des données ou encore obligation de notifier les violations de données).

En cas de manquement aux obligations prévues par le règlement, le responsable de traitement est toujours responsable des dommages. En revanche, le sous-traitant est uniquement tenu responsable des dommages s’il n’a pas respecté les obligations prévues par le règlement qui lui incombent directement ou s’il a agi en dehors ou contrairement aux instructions licites du responsable de traitement.

Dans le cas où le dommage est imputable à la fois au responsable de traitement et au sous-traitant, ces derniers sont solidairement responsables des dommages et intérêts. A ce titre, ils sont chacun susceptibles d’être redevables de l’intégralité des dommages et intérêts, à charge pour celui qui est condamné de réclamer auprès de l’autre la part de réparation correspondant à sa responsabilité.

Enfin, contrairement à la directive 95/46/CE, qui laisse aux Etats membres le choix des sanctions à mettre en œuvre, le règlement introduit d’importants pouvoirs de sanction au bénéfice des autorités de contrôle. En effet, les amendes administratives peuvent désormais s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.

Compte tenu de l’entrée en vigueur imminente du règlement en droit interne, il est recommandé aux entreprises de commencer dès maintenant à se préparer afin d’être en mesure de répondre aux obligations et exigences du règlement.