Accéder au contenu principal

La protection des données à caractère personnel : Que va changer le RGPD pour les entreprises ?



Adopté le 14 avril 2016, le règlement européen sur la protection des données (RGPD), entrera en vigueur le 25 mai 2018 prochain. 

S'agissant d'un règlement, celui-ci est d'application directe ; il n'a pas besoin d'être transposé en droit national pour être applicable. Il constitue donc un cadre unique pour la protection des données à caractère personnel des ressortissants européens.

Il reste donc quelques semaines aux entreprises pour se mettre en conformité avec cette nouvelle législation. Quelles en sont les idées clés ? 

Responsabiliser les entreprises 

Première modification importante : la déclaration obligatoire à la CNIL disparait pour laisser place à la tenue d'un registre de traitement de données. Les entreprises devront donc désormais recenser tous les traitements de données. On entend par traitement de données, toute collecte, stockage, utilisation, destruction ou encore partage des données. En outre, les données à caractère personnel correspondent à toute donnée se rapportant à une personne identifiée ou identifiable (nom, prénom, adresse...). Il s'agit donc d'un spectre très large. 

Lutter contre les risques d'atteinte à la vie privée des utilisateurs 

Autre point important du règlement : identifier les traitements sensibles pour la vie privée des utilisateurs. En effet, dès l'instant où un traitement à risque est décelé par l'entreprise, celle-ci devra mener une étude d'impact sur la vie privée, dit encore PIA (Privacy Impact assessment). Cela implique pour l'entreprise de décrire minutieusement le traitement en question, d'en évaluer les risques puis de mettre en place toutes les actions nécessaires à la garantie d'une sécurité maximale.

Par ailleurs, les principes privacy by design et by default sont au coeur du nouveau règlement. Le premier consiste pour les entreprises à garantir un niveau de confidentialité et de sécurité des données maximal, dès la conception d'un nouveau produit ou service. Le second, permet d'assurer la protection de la vie privée des utilisateurs du produit ou service. Cela consiste en pratique à créer une obligation de portabilité des données au profit des utilisateurs ainsi qu'un droit de modifier ou effacer ses données. En outre, cela implique une obligation de consentement pour le traitement des données. 

Nommer un Data Protection Officer (DPO)

La désignation d'un Data Protection Officer (anciennement Correspondant Informatique et Libertés) sera désormais obligatoire pour les entreprises publiques ainsi que pour les sociétés traitant des données sensibles (données de santé ou bancaires par exemple) ou en masse. Celui-ci constituera un atout majeur pour guider l'entreprise dans sa mise en conformité au RGPD. En effet, celui-ci dispose de compétences juridiques et techniques poussées. 

Jouer la transparence et respecter le droit des personnes 

Un autre point essentiel du RGPD est la transparence. Elle s'illustre par la création de nouveaux droits  pour les personnes concernées par le traitement et la réaffirmation du consentement. En effet, les personnes concernées par le traitement doivent systématiquement avoir la possibilité de donner leur accord ou de refuser. 

Ils doivent en outre être informés de façon claire et intelligible de l'utilisation de leurs données. Les cases pré-cochées sont désormais à bannir et l'entreprise devra être capable de prouver à tout moment qu'elle a obtenu le consentement de la personne concernée par le traitement de données. 

Le droit à la portabilité des données et le droit à l'oubli permettent aux personnes concernées par le traitement de disposer à leur guise de toutes les données collectées par l'entreprise à leur sujet. Elles pourront ainsi désormais demander l'effacement de leurs données ou leur obtention en vue de les transmettre à une société tierce. 

En outre, les droits des mineurs de moins de 16 ans sont précisés ; Le traitement de leurs données requiert désormais obligatoirement l'accord de leurs représentants légaux. 

Notifier les cas de violation de la vie privée 

Dans le cas d'une violation de la vie privée des utilisateurs, les entreprises seront tenues de notifier celle-ci à la CNIL dans un délai maximal de 72h ainsi qu'en informer les personne concernées. En outre, les utilisateurs auront la possibilité de demander la réparation des préjudices moraux et matériels consécutifs à cette violation. 

Des sanctions lourdes 

Le montant des sanctions prévus par la loi du 6 janvier 1978 dite loi "Informatique et Libertés" ne pouvait excéder 300. 000 euros. Avec le RGPD, les autorités pourront prononcer des amendes d'un montant nettement supérieur : selon la catégorie de l'infraction, de 10 à 20 millions d'euros ou, dans le cas d'une entreprise, de 2 à 4 % du chiffre d'affaires annuel mondial. Il s'agit là d'obliger au maximum les entreprises à se conformer à cette nouvelle législation. 

Ainsi, le texte a pour mission principale de renforcer les droits des utilisateurs vis-à-vis de leurs données à caractère personnel. Il a également pour but de favoriser un climat de confiance entre les individus et les entreprises. 

Laura Tuszynski


Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

La preuve de propriété d'actions: quelles règles ?

La preuve de la propriété d’actions est un sujet récurrent en droit des sociétés. Cela peut sembler étrange en soit, car techniquement rien ne paraît plus simple que de prouver que l’on détient des actions : on investit dans une société en mettant à sa disposition de l’argent (apport en numéraire) ou des biens matériels (apport en nature) et l’on reçoit, en rémunération de cet apport, des actions émises par la société. Dans quel contexte quelqu’un pourrait-il contester notre légitime propriété desdites actions ? Un arrêt rendu par la Cour d’appel de Paris le 11 janvier 2018 (CA Paris, 11 janvier 2018, n°16/10056) nous donne une bonne illustration du type de conflit qui peut émerger au sujet de la propriété d’actions. Cette affaire oppose Monsieur X, propriétaire apparent d’actions d’une société anonyme, à Madame Y qui prétend être en réalité propriétaire des actions inscrites dans les comptes de la société anonyme au profit de Monsieur X. Afin de prouver qu’elle détient la
Enregistrer un commentaire
Plus d'articles »

Qui sommes-nous ?

Clics Droit est né de la rencontre de six élèves-avocats aux profils variés et tous très inspirés ! Notre objectif est de décortiquer l'actualité juridique de manière simple, basique (mais tout aussi efficace) ! Que vous soyez intéressés par des questions de droit pénal, de données personnelles, de droit international ou encore de droit des sociétés, vous trouverez ici votre bonheur. Le style est volontairement simple, sans prétention. Le but étant de rendre notre contenu accessible et agréable à lire pour tous. Rejoignez-nous dans cette petite aventure éditorialiste ! Camille, Clara, Laura, Marianne, Orane et Stanislas.
Enregistrer un commentaire
Plus d'articles »