Les changements apportés par le RGPD (GDPR en anglais)

Du nouveau dans le secteur du numérique : à partir du 25 mai 2018, le règlement général sur la protection des données personnelles ou RGPD (GDPR en anglais pour General Data Protection Regulation) entre en vigueur. À partir de cette date, le non-respect de ce règlement pourra entraîner des sanctions ! Ayant fait l’objet d’un long travail administratif, ce nouveau règlement européen consiste à responsabiliser les entreprises et start-ups tout en leur apportant une sécurité juridique maximale.

Quel est le but du RGPD  ? GDPR définition : ce nouveau réglement impacte fortement les entreprises, qui doivent se mettre en conformité avec les règles qui y sont décrites.

Décryptage par LegalVision de l’impact du nouveau règlement général sur la protection des données personnelles.

Qui est concerné par le RGPD (ou GDPR en anglais)?

Le nouveau règlement européen vise les start-ups, les entreprises publiques ou privées, les administrations, qui manipulent des données personnelles. Cela peut être des legaltechs européenne, ou hors UE, mais que les données traitées portent sur les résidents européens. Expert GDPR : vous pouvez vous renseignez sur le contenu de ce règlement en ligne.

Qu’est-ce que le traitement des données personnelles ? Cette notion regroupe des éléments très variés. Il s’agit simplement de faire une utilisation quelconque des données personnelles des utilisateurs collectées par une entreprise ou un organisme.

La protection données personnelles: qu’est-ce qui change dans la pratique avec le GDPR (en français RGPD) ?

Force est de constater que les données personnelles des internautes sont le plus souvent collectées et utilisées à leur insu. Ainsi, le règlement général sur la protection des données a mis le point sur :

1. La confirmation des droits des personnes concernées par le traitement des données

  • Le respect des droits et libertés des individus. Les responsables de traitement doivent informer les internautes de ce à quoi les données vont leur servir, et obtenir leur consentement pour les collecter
  • Le droit à la limitation des données. Les personnes concernées ont le droit de faire supprimer leurs données une fois que l’objectif d’utilisation a été atteint. D’ailleurs, elles peuvent s’opposer à l’utilisation de leurs données pour d’autres fins.
  • Le droit de portabilité. Les consommateurs ont le droit de récupérer les données qui résultent de leur usage d’un service afin de les transférer auprès d’autres prestataires lorsqu’ils en changent. Par exemple, quitter Gmail pour aller chez Outlook
  • Les personnes concernées ont le droit de savoir que leurs données ont été piratées. La notification des victimes doit être effectuée dans les 72 heures

2. Le renforcement de la responsabilisation des responsables de traitement

Premièrement, si l’entreprise possède des filiales dans plusieurs États membres de l’UE, elle devra uniquement traiter les données avec l’autorité de contrôle du pays où se situe son siège.

Deuxièmement, les responsables de traitement peuvent être tenus de réaliser une étude d’impact sur la protection des données personnelles à partir du moment où l’utilisation des données est exposée à un risque élevé.

Troisièmement, le règlement impose la désignation d’un délégué à la protection des données, chargée de mettre en œuvre la protection des données, la conformité et le signalement au sein d’une entreprise.

Quatrièmement, le nouveau règlement impose à chaque responsable de traitement d’avoir à disposition des outils internes garantissant la protection optimale des personnes, dont les données personnelles sont traitées. Ainsi, il s’agit de :

  • un registre des traitements et de documentation pour réaliser l’inventaire des données mis en œuvre
  • une étude d’impact sur la vie privée (PIA) pour les traitements à risque

Réglementation GDPR : d’une manière uniforme cette réglementation s’applique à tous les pays de l’Union Européenne.

3. La simplification des démarches administratives

En effet, les démarches auprès des start-ups et entreprises doivent être réalisées de la manière la plus simple possible.

En outre, les échanges entre le responsable du traitement et les autorités de contrôle doivent être transparents. Le règlement supprime ainsi les formalités préalables auprès des autorités de contrôle.

Les risques si les entreprises refusent d’appliquer la loi

Les autorités de contrôle du RGPD peuvent imposer :

  • un simple avertissement ordonnant de se mettre en conformité avec le nouveau texte européen
  • des sanctions financières pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuels

CNIL RGPD :  l‘accompagnement des entreprises par la CNIL

La CNIL accompagne les entreprises et met même à disposition des entreprise un modèle de registre des traitements. Cette obligation découle du règlement RGPD et s’applique à la plupart des organismes. Cela concerne également les sous-traitants qui gèrent les données personnelles pour le compte d’un autre organisme. Ce registre récapitule les activités qui font l’objet d’une collecte de donnéees.

Dans ce registre des traitements doivent apparaître les données qui seront traitées par l’entreprise et pendant combien de temps elles seront conservées. Il faut également faire apparaître les modalités de sécurisation de cette conservation et les personnes qui peuvent y accéder. Il convient également de détailler les personnes auprès desquelles celles-ci pourront être communiquées.

Certification GPDR : le règlement prévoit que l’État doit mettre en place des processus qui doivent permettre de certifier les activités de l’entrepris ou de l’organisme vis à vis du règlement. Des organismes agréés par la CNIL peuvent délivrer cette certification.

 

21

No Responses

Ecrire une réponse