Qu'est ce que le Règlement Général sur la Protection des Données ?

 

De par son omniprésence, le monde digital impose désormais son côté plus obscur d’une législation renforcée. Par conséquent les organisations devront se conformer face à des contraintes règlementaires renforcée.

Le Règlement général sur la protection des données (RGPD) ou General data protection regulation (GDPR) a été définitivement adopté par le Parlement européen le 14 Avril 2016 et entrera en application dans les états membres le 25 Mais 2018. L’objectif étant la protection des données, la simplification et universalité ou encore une meilleure circulation des données au sein de l’UE.

Cette réforme poursuit 3 objectifs :

  1. Renforcer les droits des personnes

  2. Responsabiliser les acteurs traitant des données

  3. Crédibiliser la régulation des données personnelles 

 

POUR QUI ?

Contrairement à une directive, le RGPD est applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents Etats membres et dès lors qu’un citoyen européen est ciblé par un traitement de données. Ce qui signifie que lorsqu’une entreprise qui n’est pas établie en Europe mais qui lance une opération de récolte visant des citoyens européens devra se soumettre à ce règlement.

 

RENFORCER LES DROITS DES PERSONNES

 

Le droit à la portabilité des données (possibilité de transférer ses données vers un autre prestataires de services) Article 20 qui donne le droit à une personne physique de demander ses données personnelles au responsable du traitement de ces dernières, si possible dans un format lisible par machine, lorsque le traitement est fondé sur le consentement de la personne ou sur un contrat.

Le droit à la limitation du traitement

Le droit à l’effacement des données (droit à l’oubli)

Le droit d’être informé en cas de piratage des données

Rectification spécifique des mineurs: entre 13 et 16 ans, selon les état le consentement des parents est requis pour procéder au traitement des données.

 

RESPONSABILISER LES ACTEURS TRAITANT DES DONNEES

 

Le règlement cherche à simplifier le processus post-traitement et à alléger les formalités administratives. Il repose sur une logique de conformité alors que la directive alors que la directive se basait sur une logique de déclarations et d’autorisations.

Principe d’accountability: une entreprise aura l’obligation de prendre des mesures efficaces et appropriées afin de se conformer au RGPD et d’être capable de prouver, sur demande de l’autorité de contrôle, de la bonne mise en place de ces mesures.

 

Les mesures sont:

  • L’adoption de règles internes

  • La tenue d’un registre des activités de traitement qui attestera du respect des principes posés par le règlement (cartographie des traitements).

  • La réalisation d’une étude d’impact : EIVP

  • L’adoption de l’approche « Privacy by design »

  • La mise en place d’audit de sécurité

  • La désignation d’un délégué à la protection des données.

 

CREDIBILISER LA REGULATION

 

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

 

Les autorités de protection peuvent notamment :

  • Prononcer un avertissement ;

  • Mettre en demeure l’entreprise ;

  • Limiter temporairement ou définitivement un traitement ;

  • Suspendre les flux de données ;

  • Ordonner de satisfaire aux demandes d'exercice des droits des personnes ;

  • Ordonner la rectification, la limitation ou l'effacement des données.

 

S’agissant des nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification.

 

S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du  chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

 

Ce montant doit être rapporté au fait que, pour les traitements transnationaux, la sanction sera conjointement adoptée entre l’ensemble des autorités concernées, donc potentiellement pour le territoire de toute l’Union européenne.

Dans ce cas, une seule et même décision de sanction décidée par plusieurs autorités de protection sera infligée à l’entreprise.