Le RGPD (règlement général sur la protection des données) a été adopté le 14 avril 2016 et sera applicable au 25 mai 2018. De nombreuses dispositions ont vu le jour (droit à l’oubli, profilage, consentement…) mais qu’en est-il réellement pour vous ?
Le RGPD a fait naitre de nouvelles dispositions relatives à l’exploitation des données numériques, dans le seul but de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ». En résumé, l’UE dispose de nouvelles démarches et obligations concernant les données, et il va être de plus en plus complexe de prélever des informations personnelles.
S’agissant d’un règlement, le RGPD est directement applicable.
RGPDÂ : les grandes lignes et objectifs
Le renforcement des exigences concernant la récolte d’informations personnelles passe par 3 grandes lignes :
1- L’harmonisation des systèmes de protection pour garantir l’uniformisation des processus de traitement en Europe. 2- La protection des données pour encadrer la conservation et la mise en sécurité des données à caractère personnel. 3- La concordance des traitements pour concrétiser un ensemble de droits et de devoirs.
Quelles sont les nouvelles obligations auxquelles vous allez être confronté dès Mai 2018 ?
Tout d’abord, il faut savoir qu’il y aura qu’une seule et même réglementation dans toute l’Union Européenne relative à la protection des données. Il est important de noter que le RGPD s’appliquera aux sociétés hors UE, qui utilisent les données en relation avec les activités des entités de l’UE. Enfin, un Comité européen de la protection des données sera créé pour interpréter le RGPD.
Concrètement, que devez-vous faire pour respecter le RGPD ?
Vos devoirs concernant les données d’une personne physique identifiée ou identifiable sont les suivants :
– Tenir un registre de traitement des données (collecte, stockage, utilisation, partage, destruction). Attention, vos sous-traitants même hors UE, devront en tenir un également. – Réaliser une étude d’impact sur la vie privée dès que des traitements à risques sont identifiés. – Assurer le plus haut niveau de confidentialité et de sécurité des données dès la conception des processus. – Nommer un Représentant de la protection des données en tant qu’interlocuteur privilégié de la CNIL (obligatoire pour les organismes de secteur public et les entreprises traitant les données sensibles et/ou de masse). Pour les autres sociétés, il est vivement recommandé de faire appel à ce Représentant. – Notifier l’autorité nationale en cas de fuite de données, dans les 72h maximum. – Informer clairement les internautes de la manière dont leurs données seront utilisées. – S’assurer que la réglementation des pays voisins est autant protectrice, en cas de transfert de données.
RGPD : quels sont les nouveaux droits des utilisateurs ?
Les utilisateurs disposent de nouveaux droits suite à la mise en application du RGPD :
– Le droit à l’oubli/à l’effacement : l’utilisateur peut demander la destruction, au plus tôt, des données à caractère privé. Le Représentant aura l’obligation de le faire si les motifs sont les suivants : > les données sont obsolètes au regard de la raison pour laquelle elles avaient été collectées > l’utilisateur ne souhaite plus consentir au traitement de ses données > l’utilisateur s’oppose au traitement de ses données personnelles > les données ont été utilisées à des fins illicites > les données doivent être effacées pour respecter la Loi > les données collectées concernent des enfants
– Le droit à la portabilité : l’utilisateur peut demander à recevoir les données personnelles le concernant et peut également demander qu’elles soient transmises d’un Représentant à un autre.
– Les mineurs de moins de 16 ans : il est désormais impératif d’obtenir l’accord du représentant légal.
– L’accord explicite de l’utilisateur : le consentement sous silence n’est plus valable. Ainsi, l’utilisateur devra donner accord en cochant une case.
– Le profilage : il est possible de demander à ne pas être concerné par une décision basée sur un traitement automatisé.
Comment vous préparer ?
1- Désigner un Représentant de la protection des données 2- Déterminer quelles données personnelles vous collectez et comment vous les traitez 3- Définir, dans l’ordre de priorité, les actions à mettre en place pour appliquer la Loi 4- Effectuer une étude d’impact si certains traitements sont risqués 5- Organiser les procédures internes pour sécuriser en continu les données personnelles 6- Prouver que vous êtes en règle en constituant un dossier (à actualiser chaque année) qui regroupe les documents nécessaires
Quelles sont les sanctions en cas de non-respect du RGPDÂ ?
Les amendes peuvent aller jusqu’à 4% du chiffre d’affaire annuel ou 20 millions d’euros pour le non-respect de la règle (le montant le plus élevé sera retenu). Il s’agit également de 20 millions d’euros qui sont en jeu suite à un recours et à une demande de réparation de la part d’un utilisateur.
Source : Blog.Newmanity.com – DPMS – Wikipédia – CNIL