Ce texte, qui marque le début d’une période transitoire de 2 ans2 destinée à permettre aux responsables de traitements de se mettre en conformité avec leurs nouvelles obligations, repose sur trois piliers. Tout d’abord, renforcer les droits des personnes (notamment au travers de la portabilité des données personnelles et de dispositions spécifiques aux mineurs), mettre les responsables de traitement et sous-traitants face à leurs responsabilités au travers du principe d’accountability et, enfin, renouveler la coopération avec les autorités de protection des données, ces dernières disposant d’un pouvoir de sanction très significatif.
I. LES POINTS CLÉS DU RGPD
Si, globalement, les principes posés par la Directive 95/46 et la loi Informatique et Libertés demeurent, le Règlement les revisite et introduit de nouveaux principes.
1. L’accountability3
Cette notion constitue une des innovations majeures introduites par le RGPD. L’accountability conduit à l’émergence d’une gouvernance renforcée du cycle de vie des produits et services et des données personnelles qui y sont associées. L’accountability manifeste la bascule d’un mécanisme de formalités préalables4 à un mécanisme d’autocontrôle5 dans lequel lesdites formalités ont quasiment disparu6. Le but est de mettre à la charge des responsables de traitement la démonstration, tout au long du cycle de vie des données personnelles, du respect des dispositions protectrices de celles-ci.
