Le RGPD ou Règlement Général sur la Protection des Données a été adopté en mai 2016. Il sera applicable à compter du 25 mai 2018 dans tous les pays de l’Union Européenne. Ce nouveau règlement concerne tous les professionnels qui utilisent les données personnelles de leurs utilisateurs.
Quels sont les points clés de cette nouvelle norme européenne ?
1) Le RPGD, quésaco ?
Le RGPD (Règlement Général sur la Protection des Données) ou GDPR en anglais, a pour but de renforcer et harmoniser la protection des données à caractère personnel.
Dans un premier temps, il est important de faire la différence entre un règlement européen et une directive européenne. Le règlement est obligatoire dans tous les États membres de l’UE et ne peut être appliqué de manière incomplète ou sélective. Il entre en vigueur de manière simultané dans tout État membre. La directive, quant à elle, a pour objectif d’harmoniser les législations des États membre de l’UE. Elle fixe un objectif à atteindre mais laisse le choix aux États membre des moyens et de la forme pour atteindre cet objectif.
En l’occurrence, le RGPD est un règlement européen. De ce fait, son application sera directe et obligatoire à compter du 25 mai 2018. C’est un réel enjeu pour l’entreprise au vu des sanctions prévues en cas de non respect. En effet, les entreprises se verront administrer des amendes allant de 2% à 4% de leur chiffre d’affaires et jusqu’à 20 millions d’euros pour les infractions les plus graves.
Quelles sont les entreprises concernées ? Toutes les entreprises stockant ou traitant des données personnelles à travers des bases de données. En d’autres termes : toutes les organisations (sociétés, associations et institutions).
Au sein d’une société, tous les employés sont concernés car il oblige à redéfinir les règles de travail.
2) 7 points importants du RGPD pour les entreprises
Qu’est-ce qu’une donnée personnelle selon le RGPD ? Il s’agit de toute donnée relative à une personne physique identifiée ou pouvant être identifiée directement ou indirectement grâce à cette donnée. Par exemple, l’âge, l’activité professionnelle, l’email ou encore le sexe d’une personne physique sont des données personnelles.
1er point : L’accord « explicite » et « positif ». Tout individu devra au préalable exprimer un consentement « explicite » et « positif » avant une collecte de données.
2ème point : Les entreprises devront obligatoirement transmettre aux utilisateurs l’utilisation qui sera faite de leurs données.
3ème point : L’accès, la modification, la restitution et l’effacement des données à la demande des individus concernés devront être garantis. Par ailleurs, seules les données nécessaires à la finalité en cause devront être collectées.
4ème point : Le droit à l’oubli sera autorisé. Une personne concernée a le droit d’obtenir l’effacement de ses données directement auprès du responsable du traitement. Elle pourra prétendre au droit à l’effacement de ses données à caractère personnel dans les meilleurs délais pour 6 motifs (article 17).
5ème point : Des mesures préventives de protection de données devront être mises en place par les entreprises.
6ème point : Dans le cas d’une fuite de données, toute entreprise sera dans l’obligation d’avertir les personnes concernées.
7ème point : Le droit à la portabilité des données personnelles. Dorénavant, l’utilisateur est en droit de demander le transfert de ses données vers un autre organisme, y compris vers les concurrents/confrères.
3) Le DPO, le nouvel expert des entreprises
Le Data Protection Officer (DPO) est le successeur du CIL (Correspondant Informatique et Libertés).
Effectivement, dans le cadre du RGPD, les entreprises seront obligées de nommer un délégué à la protection des données (Data Protection Officer en anglais – DPO). Le Data Protection Officer est en charge de la sécurité des données de l’entreprise. Il représente un élément de coordination à la fois en interne et en externe, agissant comme le point de contact de l’autorité de contrôle et des personnes concernées, avec qui il doit coopérer. Pour les start-ups, TPE et PME, il conviendra de nommer un employé clairement identifié.
4) Un plus haut niveau de protection obligatoire
Autre grand principe de ce nouveau règlement : la « protection des données dès la conception » (ou privacy design) et de « sécurité par défaut ».
De façon concrète, tous les outils interne à l’entreprise ou par l’intermédiaire d’un fournisseur devront intégrer la protection des données dès la conception et ce, tout au long du cycle de vie des données jusqu’à leur suppression.
Dans le cas où une entreprise externalise tout ou partie de son architecture (conception, hébergement, etc), elle devra mesurer la protection des données de ses fournisseurs. Il y aura alors une responsabilité en cascade via un effet domino dans le traitement des données. Ainsi, il faudra vérifier et corriger les contrats des fournisseurs en cas de besoin.
Vous avez une question concernant le RGPD ? Vous souhaitez auditer votre entreprise ? Avoir des conseils d’avocats spécialistes du sujet ? N’hésitez-pas. Contactez-nous !