Il s’agit du nouveau texte européen de référence en matière de protection des données à caractère personnel. Il vise à consolider et unifier la protection des données pour les individus au sein de l’Union Européenne. Adopté le 14 avril dernier, son entrée en vigueur est prévue pour le 25 mai 2018. En d’autres termes, ce terme impliquera la mise en conformité des entreprises traitant de données personnelles d’ici fin mai 2018.
Une mise en conformité pour quoi faire ? Quels changements ce texte va-t-il apporter ?
L’objectif principal du RGPD est de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ». Pour ce faire, le Règlement Général sur la Protection des Données contient de nombreuses dispositions. On vous propose d’en découvrir les principales :
Où et à qui s’applique ce règlement ? Un cadre mieux défini
Afin d’harmoniser l’ensemble des règles relatives aux données personnelles, celui-ci sera applicable directement dans tous les Etats Membres de l’Union Européenne. En d’autres termes, plus de fragmentation entre nations des lois actuelles de protection des données.
Ces règles s’appliqueront à toutes les entreprises, même hors UE, qui traitent des données relatives aux activités des organisations de l’Union Européenne. Celles traitant du profilage des citoyens de pays de l’UE seront également concernées par le règlement ainsi que celles vendant des produits ou services sur le marché européen.
Deux nouveaux droits
Le droit à l’oubli (ou droit à l’effacement) sera applicable selon 6 motifs bien définis ; autrement dit la personne concernée pourra obtenir l’effacement des données personnelles la concernant si ces dernières entrent dans l’une des catégories précisées par le règlement. Ce droit à l’oubli est consacré par l’article 17 du règlement que nous vous invitons à consulter ici.
Le droit à la portabilité des données : Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant préalablement fournies à un responsable du traitement, et ont également le droit de transmettre ces données à un autre responsable du traitement.
Sécurité, obligation d’information et sanctions
Une nouvelle règle de « sécurité par défaut » impose à toute organisation (entreprise, association, organisme…) de disposer d’un système d’information sécurisé. Une évaluation d’impact des opérations de traitement envisagées sera également mise en place préalablement à tout traitement des données dans les organismes traitant de données à caractère personnel nombreuses et/ou sensibles. Ceci afin d’anticiper l’impact que pourrait avoir une éventuelle fuite de ces données par exemple.
D’ailleurs, en cas de fuite des données par les entreprises, ces dernières devront impérativement en informer l’autorité nationale de protection en cas de violation grave des données, afin de permettre aux usagers de prendre les mesures nécessaires pour limiter les dégâts sur leurs données.
Les sanctions applicables seront quant à elles plus importantes : en cas de non-respect du règlement, des amendes allant jusqu’à 4% du chiffre d’affaires mondial annuel ou 20 millions d’euros pourront être appliquées.
De nouveaux responsables
Un délégué à la protection des données sera nommé auprès de chaque organisme (public ou privé) dont « les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées ». Il sera chargé de vérifier le respect du règlement, conseiller le responsable des données et être l’intermédiaire entre l’organisme et l’autorité de contrôle.
Un Comité Européen de la protection des données est également prévu. Il représente l’autorité pour tout sujet d’interprétation du règlement.
Pour aller plus loin
Pour en savoir plus sur le Règlement Général sur la Protection des Données, vous pourrez également consulter l’ensemble du règlement sur le site de la CNIL : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016