La Commission européenne a publié, le 24 janvier dernier, des « orientations visant à faciliter l’application des nouvelles règles en matière de protection des données dans toute l’UE à compter du 25 mai ».
Dans son communiqué, la Commission « demande aux gouvernements des États membres de l’UE et aux autorités de protection des données de se tenir prêts et d’apporter leur soutien« .
« À un peu plus de cent jours de l’application de la nouvelle loi, les orientations soulignent les mesures que la Commission européenne, les autorités nationales de protection des données et les administrations nationales devraient encore prendre pour mener à bien les préparatifs.
Si le nouveau règlement fournit un ensemble unique de règles directement applicables dans tous les États membres, d’importants ajustements n’en resteront pas moins nécessaires pour certains aspects, comme la modification des législations existantes par les gouvernements des États membres de l’UE ou la mise en place du comité européen de la protection des données par les autorités de protection des données. Les orientations rappellent les principales innovations et perspectives découlant des nouvelles règles, prennent acte des préparatifs déjà engagés et mettent en exergue ce qui doit encore être accompli par la Commission européenne, les autorités nationales de protection des données et les administrations nationales. »
En fait, la Commission fait part de son inquiétude au sujet du retard pris par la plupart des États membres, sans parler des acteurs économiques (entreprises mais aussi secteur public). À l’heure actuelle, seules l’Allemagne et l’Autriche sont prêtes pour la pleine entrée en vigueur du RGPD au 25 mai.
Du côté français, il est certain qu’on peut au minimum constater quelques retards, notamment dans la réforme de la loi Informatique, fichiers et libertés de 1978 pour la mettre en harmonie avec le RGPD, dont les débats au Parlement commencent à peine (depuis le 6 février), ainsi que l’attente de la « liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise » que l’article 35, 4 du RGPD attend des autorités de contrôle, c’est-à-dire de la Cnil. Il serait temps que connaître cette liste pour que les entreprises puissent conduire en toute connaissance de cause lesdites analyses dans les délais, soit avant le 25 mai.
Voir la présentation des Orientations (en français) sur le site de la Commission : https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_fr assortie de liens vers d’autres documents.
