phone Rappel gratuit
RGPD: Règlement général de protection des données

RGPD: Règlement général de protection des données

Share Button

RGPD: De quoi s’agit-il ?

Il s’agit d’un nouveau règlement européen qui, par définition, s’appliquera automatiquement à tous les états membres de l’Union Européenne avant le 25 mai 2018.

 

Qu’est ce qui va changer à partir du 25 mai 2018 ?

Les modifications principales par rapport aux précédents règlements peuvent être concentrées en 14 points.

  1. Les obligations de l’entreprise
  • Principe de responsabilité et notification des violations de données :

Le règlement donne des outils qui permettent d’assurer la conformité comme

l’obligation pour les entreprises de notifier à l’autorité de contrôle nationale les violations graves de données, dans les 72 heures de leur survenance.

  • Responsabilité des sous-traitants :

Le maître de traitement peut embaucher des sous-traitants pour gérer les données personnelles. Lorsque cela est le cas, le règlement confère aux sous-traitants une responsabilité quasiment équivalente à celle des maîtres de traitement.

  • Simplification des formalités administratives et analyse d’impact

Désormais, les obligations déclaratives ne sont plus nécessaires lorsque les traitements n’entrainent pas de risque particulier pour la vie privée des personnes.

La contrepartie de cette nouveauté est que les entreprises devront effectuer une analyse de l’impact des traitements des données personnelles et particulièrement sensibles sur la vie privée (EIVP ou PIA). 

  • Délégué à la protection des données (DPO)

Un Data Protection Officer ou un Délégué à la Protection des données devra être nommé par le responsable du traitement ou le sous-traitant dans certaines entreprises (si elles appartiennent au secteur public, si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou encore, si leurs activités principales les amène à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions).

Ce délégué à la Protection des Données devra informer le maître du traitement et son sous-traitant, contrôler le respect au règlement, conseiller les entreprises pour les analyses d’impact et être le relai entre l’entreprise et l’autorité de contrôle.

 

  1. Le droit des personnes privées
  • Information des personnes concernées et principe de transparence

Il est nécessaire que les informations relatives au prélèvement des données soit communiqué clairement aux personnes concernées. 

  • Recueil du consentement

Le consentement des personnes concernées à l’utilisation de leurs données personnelles doit également être exprimé de manière claire et consentie.

  • Droit à l’oubli numérique

Ce nouveau droit permet aux personnes concernées de demander la suppression de leurs données personnelles lorsqu’aucun motif légitime ne justifie leur conservation.

  • Droit à la portabilité des données

Les personnes concernées pourront désormais récupérer leurs données pour pouvoir aisément les transmettre à un tiers.          

  • Actions collectives

Les associations du domaine de la protection des droits et libertés des personnes pourront introduire des recours collectifs en cas d’abus dans le cadre de l’exploitation des données personnelles.

 

  1. Les établissements de protection des données
  • Pluralité d’établissements et traitements transfrontalières

Il n’y aura plus qu’une seule autorité de protection des données pour les entreprises, appelé « guichet unique » ou « autorité chef de file ».

  • Champ d’application territorial : le critère du ciblage

Ce règlement sera applicable dès lors qu’un résident de l’Union Européenne sera concerné par un traitement de données. 

  • Transferts hors de l’UE

Si un certain niveau de protection est atteint et sur décision d’adéquation prise par la Commission Européenne, les entreprises peuvent transférer les données en dehors de l’Union Européenne. 

  • Comité européen de la protection des données

Un nouvel organisme a été créé au sein de l’Union Européenne pour veiller à la bonne application du règlement au sein des différents états. 

  • Pouvoirs d’investigation et de sanction des autorités nationales

Les autorités de protection peuvent sanctionner sévèrement les responsables de traitement ou les sous-traitants pour non-respect des dispositions du règlement, par des amendes administratives qui peuvent s’élever à 2% voire 3% du chiffre d’affaires annuel mondial.

La CNIL a mis en place des guides pour les entreprises afin de bien comprendre les enjeux de ce nouvel RGPD et de s’y préparer au mieux avant mai 2018.

Ce texte devrait permettre à l’Union Européenne de s’adapter au mieux à l’avancement et aux progrès du numérique.

 

mm

Auteur: Maître Joseph Suissa

Maître Joseph Suissa, avocat d’affaires au Barreau de Paris et associé du cabinet JDB AVOCATS, professionnel en droit des affaires et en droit fiscal. Aguerri aux procédures et expert en négociation.