L'UE corrige son RGPD juste avant la date limite
Le RGPD de l'UE, qui entrera en vigueur le 25 mai, préoccupe actuellement de nombreuses entreprises. Avant la date butoir, le Conseil de l'UE a publié un corrigendum. Celui-ci cache une petite modification, mais pas si triviale.
Il n'est pas rare qu'il faille encore clarifier certains points lors de la rédaction finale d'ouvrages législatifs volumineux. C'est pourquoi la publication d'un document de 386 pages Complément et clarification du règlement général sur la protection des données pas de surprise. Outre diverses corrections tout à fait "normales", telles que des renvois de page corrigés, la clarification de formulations ambiguës et autres, on trouve également un passage qui, d'un point de vue juridique, change la donne dans la nouvelle version. En effet, l'article 25, alinéa 2, p. 1 stipule à l'origine : "Le responsable du traitement prend les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, les données à caractère personnel ne soient pas transmises à des tiers. en principe seules les données à caractère personnel dont le traitement est nécessaire à la finalité spécifique poursuivie sont traitées". Dans la version révisée, le mot "principe" est désormais absent. Le point essentiel : dans la jurisprudence, "en principe" signifie qu'il existe aussi des exceptions qui peuvent déroger à un principe.
Concrètement, la nouvelle formulation sans "en principe" signifie ce qui suit : Celui qui envoie des e-mails aux clients ou des newsletters n'a besoin pour cela que d'une adresse e-mail. Pour une salutation individuelle telle que "Cher Monsieur ..." ou "Chère Madame ...", il faut des données à caractère personnel, comme le nom et le prénom. Cela aurait tout juste été autorisé dans la version initiale. Mais la nouvelle formulation va si loin qu'à l'avenir, seule l'adresse électronique elle-même pourra être demandée. Dans la version initiale, d'autres données auraient pu être demandées sur une base volontaire. La suppression de l'expression "en principe" entraîne à nouveau un surcroît de travail pour les exploitants de plates-formes de commerce électronique en Suisse, mais aussi pour d'autres entreprises qui souhaitent s'adresser régulièrement à des clients dans l'UE par e-mail, lors de l'adaptation des formulaires de contact, etc. La modification à court terme du RGPD apporte de l'eau au moulin de tous ceux qui critiquent la pression réglementaire croissante - pas seulement de la part de l'UE - sans parler de la nourriture supplémentaire pour les juristes...
Pour plus d'informations, y compris un lien vers le guide du RGPD de l'UE, voir cet article.
