Règlement général sur la protection des données
Note d'information
Le règlement européen dit « Règlement général sur la protection des données » (RGPD) doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique.
Ce règlement entrera en application le 25 mai 2018, avec pour objectifs :
- Renforcer les droits des personnes
- Responsabiliser les acteurs traitant des données physiques.
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités compétentes
Nouvelles obligations et responsabilités de l'entreprise
Renforcement du contrôle des citoyens européens sur l'utilisation de leurs données personnelles
- Consentement explicite : toute personne doit accepter que ses données fassent l'objet d'un traitement.
- Profilage : toute personne a le droit de ne pas faire l'objet d'une décision la concernant fondée exclusivement sur un traitement automatisé, y compris le profilage.
- Portabilité : toute personne a le droit de récupérer les données qu'elle a fournies pour, si elle le souhaite, les transférer à un tiers.
- Droit à l'oubli : toute personne a le droit d'obtenir du responsable du traitement l'effacement des données la concernant dont la conservation ne se justifie pas ou plus.
Sécurisation des données
- le responsable de traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées à la protection des données.
- Protection des données par défaut il doit garantir que seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont recueillies et traitées.
- Analyse des risques et études d'impacts : pour tout traitement susceptible d'entraîner un risque, une étude d'impact (PIA) doit être effectuée,
Désignation d'un « Data Protection Officer »
- informer et de conseiller le responsable de traitement ou le sous-traitant,
- contrôler le respect de la réglementation relative à la protection des données,
- conseiller l'entreprise sur la réalisation de PIA et d'en vérifier l'exécution,
- coopérer avec l'autorité de contrôle compétente et d'être son point de contact.
Traçabilité documentaire : assurer une mise à jour régulière :
- d’un registre recensant les traitements de données personnelles qu'elle effectue,
- des documents, mentions-type et procédures visant à informer les personnes sur le recueil de leur consentement et l'exercice de leurs droits,
- des contrats entre les personnes effectuant les traitements qui définissent les rôles et les responsabilités des acteurs.
Notification des violations des données à caractère personnel : Le responsable de traitement est tenu de notifier une violation de données à caractère personnel à l’autorité de contrôle 72h au plus tard après en avoir pris connaissance.
Quelles sont les sanctions en cas de non-respect de ces nouvelles obligations ?
Le règlement va remplacer et/ou faire évoluer de nombreuses formalités à réaliser auprès de la Commission nationale de l'informatique et des libertés (CNIL).
- La responsabilité des organismes effectuant les traitements de données sera renforcée et les régulateurs auront le pouvoir d'appliquer des sanctions financières plus élevées qu'elles ne le sont aujourd'hui.
- En cas de non-respect, ces sanctions pourront aller jusqu'à 4 % du chiffre d'affaires mondial annuel d'une entreprise ou 20 millions d'euros, le montant le plus élevé étant retenu.