Le 25 mai 2018, le règlement général sur la protection des données (RGPD), nommé aussi General Data Protection Regulation (GDPR) entrera en vigueur. Ce texte de référence offre un cadre législatif européen pour accroître la protection des droits des personnes. Il vise aussi à responsabiliser les entreprises sur l’exploitation, la collecte et la conservation des données à caractère personnel.

À qui s’adresse-t-il ?

Le nouveau règlement s’applique à l’ensemble des pays de l’Union européenne. Toute entreprise qui vend des produits ou des services sur le marché européen est concernée. Il s’adresse aux organisations publiques ou privées qui traitent, manipulent, stockent des données à caractère personnel (que ce soit les données d’un résident européen ou d’une organisation au sein de l’Europe).

Renforcer, harmoniser, responsabiliser

3 objectifs majeurs se dégagent de ce règlement général sur la protection des données :

  • Renforcer la législation sur la protection des données. Ce nouveau règlement amène plus de transparence dans le traitement des données et consolide les droits des personnes physiques. Elle protège les individus contre la possible manipulation malveillante de leurs données.
  • Harmoniser la législation européenne. L’objectif du RGPD est de créer une norme dans le but d’uniformiser la loi au sein de l’Europe.
  • Responsabiliser les entreprises en les invitant à prendre des mesures pour assurer la sécurité des données personnelles.

La mise en place d’un principe fondamental : l’accountability

Le règlement européen en votant pour le RGPD force les entreprises à se responsabiliser. Les entreprises doivent implémenter des mécanismes et des procédures internes. Et démontrer qu’elles respectent les règles relatives aux traitements des données personnelles. Ce règlement ambitionne de créer une relation de confiance entre les parties prenantes à la relation. Cette relation contractuelle doit affaiblir le rôle des autorités publiques.

Quels sont les changements principaux?

Le RGPD applique des préceptes existants et renforce les droits des personnes physiques.

  1. Le droit à l’oubli : la demande d’effacement de données devient obligatoire. Le consentement est à présent un élément central sur le web.
  2. Le droit à la portabilité des données. Chaque personne pourra demander le transfert de ses données personnelles à un tiers, si c’est techniquement réalisable. L’ensemble de nos données pourra être récupéré sous forme aisément réutilisable. L’objectif est d’avoir moins de formalisme bureaucratique.
  3. Le consentement des enfants. Les informations délivrées aux moins de 16 ans sur le traitement des données seront expliquées en termes intelligibles. Le consentement d’un tuteur légal est obligatoire. Chaque État membre aura la possibilité d’abaisser le RGPD à 13 ans.
  4. L’obligation de documentation. Les organismes fourniront aux personnes les informations sur le traitement de leurs données personnelles. Ils devront donner les informations de manière concise, transparente, intelligible et facilement accessible. Par exemple, l’emploi de pictos signalera les informations d’intérêt élevé pour l’entreprise. Il sera également proscrit de remplir les champs par défaut pour avoir le consentement.
  5. La pseudonymisation. Les données à caractère personnel traitées comme pseudonymisation ne pourront pas être attribuées à une personne sans l’utilisation d’informations supplémentaires. Or ces informations complémentaires doivent être stockées séparément. Aucune connexion entre la pseudonymisation et la personne visée ne sera faite. Cette obligation éthique concerne les entreprises qui ont recours aux données en open data pour des recherches scientifiques, historiques, ou statistiques.

La nomination d’un Data Protection Officer est-elle obligatoire ?

Les entreprises de plus de 250 employés, dont le métier traite, exploite à grande échelle des données à caractère personnel ont l’obligation de nommer un délégué à la protection des données et des représentants. Interface entre l’entreprise et l’organisme de régulation, il devra veiller à la sécurisation par défaut de ces données. Il protégera les données émises par ses clients et par l’ensemble des employés.

Failles de sécurité, à quel moment les notifier ?

En cas de vol, de perte, d’altération ou de transformation des données à caractère personnel, votre entreprise a 72H pour le notifier auprès de la CNIL. Si le problème atteint un individu en particulier, vous aurez 3 jours pour lui faire savoir.
Vous devez penser à un processus qui sera en mesure de détecter des failles et d’y apporter des mesures correctives. Un registre actualisé sur la circulation des données et leurs différents traitements doit être constitué et enregistré. Les autorités compétentes doivent pouvoir les examiner.

Quelles sont les pénalités prévues ?

Le règlement général sur la protection des données renforce les sanctions. 2 types de sanctions graduées :

  • des amendes administratives allant de 10 à 20 000 000 euros
  • une amende de 2 à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent. Le montant le plus élevé sera retenu pour les entreprises privées.

L’actualité appuie une nouvelle fois sur la nécessité de créer un cadre législatif. Dernièrement, Facebook et son contrôle abusif des données personnelles révèle les failles législatives entourant la protection des données. Avec cette loi, les GAFA, seront dans l’obligation de se conformer au RGPD. Elles ne pourront plus justifier l’exploitation des informations et des usages des internautes par leur présomption de consentement.

 

Sources :
RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL
CNIL – Règlement européen sur la protection des données : ce qui change pour les professionnels
LesÉchos  GDPR : entreprises, ce qui vous attend

 

 

 

Près de 6 mois, après ma naissance le mur de Berlin chute. En février 2004, Facebook voit le jour. En 1998, Google débarque et balaye Yahoo. En 2000, on passe à un nouveau millénaire. En 2016, je fais mes classes dans le web.
Coïncidence ? Je ne pense pas.