Le règlement européen sur la protection des données personnelles (paru au journal officiel de l’Union européenne) entrera en application le 25 mai 2018. L’adoption de ce nouveau texte vise à renforcer la protection des données personnelles et doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique.

Qui est concerné ?

Chaque citoyen européen ! Il pourra faire valoir les droits et les garanties du règlement à toute entreprise (européenne ou non) qui collecte ses données.

Quel est l’enjeu de ce nouveau règlement ?

Les géants américains et asiatiques devront appliquer les mêmes règles (contraignantes) que leurs plus modestes concurrents européens, dès lors que les données d’un citoyen européen sont collectées et traitées.

Les 3 grands objectifs du RGDP (Règlement Général des Données Personnelles)…

1. Le renforcement des droits des personnes

Création d’un droit à la portabilité des données personnelles et de nouvelles dispositions pour les mineurs

2. La responsabilisation des acteurs travaillant avec et sur des données (sensibles, de santé ou non)

Responsabilisation de traitement et des sous-traitants

3. Rendre réelle et renforcer la régulation

Meilleure coopération entre les différentes autorités de protection des données (décisions communes) en cas de traitement transnational (renforcement des sanctions).

… et les 5 principales mesures d’accompagnement

1. L’unification d’un cadre juridique européen

Mise en équivalence des obligations légales pour les sociétés traitant de la données et les sous-traitants.
Un seul interlocuteur.

2. Un renforcement des droits des personnes

Définition du consentement : les utilisateurs doivent être informés de l’usage de leurs données et doivent donner leur accord pour l’utilisation qui en est faite ou bien peuvent clairement s’opposer à cette fin. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambigüe.
Le droit à la portabilité permet à une personne de pouvoir récupérer ses données sous une forme réutilisable afin de rendre la maîtrise des données à leur propriétaire. Pour les mineurs, le consentement doit être réalisé auprès de leur titulaire en dessous de 16 ans.
Par ailleurs, une action collective en justice est désormais possible en matière de protection des droits et des données. Les préjudices sont désormais reconnus et peuvent être dédommagés.

3. Une conformité des données basée sur la transparence et la responsabilité, la « privacy by design »

Mise en œuvre de mesures techniques et organisationnelles par les responsables de traitement des données nécessaire au respect de la protection des données personnelles, dès la conception du service.
En tout état de cause, pour assurer une protection optimale des données, les responsables de traitement doivent désormais intégrer un processus de validation pointu (accountability) afin de démontrer à tout moment la conformité :
– la tenue d’un registre des traitements mis en œuvre
– la notification de failles de sécurité (aux autorités et personnes concernées)
– la certification de traitements
– l’adhésion à des codes de conduites
– le DPO (délégué à la protection des données)
– les études d’impact sur la vie privée (EIVP)

4. Le cadre des transferts des données peut s’élargir à l’Europe sous condition

5. Les sanctions sont graduelles, renforcées et encadrées.

Les autorités de protection peuvent notamment :
– Prononcer un avertissement
– Mettre en demeure l’entreprise
– Limiter temporairement ou définitivement un traitement
– Suspendre les flux de données
– Ordonner de satisfaire aux demandes d’exercice des droits des personnes
– Ordonner la rectification, la limitation ou l’effacement des données.
Alors qu’il y a peu, la CNIL ne pouvait aller au-delà d’une amende de 150 000 euros, elle pourra dès mai 2018 infliger des sanctions pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires mondial…

Qui applique ce règlement ?

TPE/PME, sociétés du CAC 40, banques, assurances, cybermarchands, SSII, fournisseurs de services SaaS, exploitants de MarketPlace, éditeurs d’applications mobiles ou autres dispositifs connectés, etc. Tous seront concernés par le RGPD dès lors que des traitements de données à caractère personnel sont effectués.

Il est intéressant ici d’observer – car c’est une vraie révolution du Règlement – que l’on passe d’un système de responsabilité à la logique plutôt vertical (le responsable du traitement endossait une part quasi-totale du risque juridique) à un système de responsabilité plus horizontal qui place les responsables de traitements et leurs sous-traitants sur un même pied d’égalité vis-à-vis des sanctions pour non-respect de la réglementation.

Il convient également de préciser que le secteur privé n’est pas le seul concerné, l’ensemble du secteur public est également assujetti aux règles contraignantes du RGPD.

 

Laisser un commentaire

Bienvenue
Inscrivez-vous à notre newsletter, afin de recevoir toutes vos actualités.