Adopté le 14 avril 2016, le règlement européen sur la protection des données (RGPD), entrera en vigueur le 25 mai 2018 prochain.
S'agissant d'un règlement, celui-ci est d'application directe ; il n'a pas besoin d'être transposé en droit national pour être applicable. Il constitue donc un cadre unique pour la protection des données à caractère personnel des ressortissants européens.
Il reste donc quelques semaines aux entreprises pour se mettre en conformité avec cette nouvelle législation. Quelles en sont les idées clés ?
Responsabiliser les entreprises
Première modification importante : la déclaration obligatoire à la CNIL disparait pour laisser place à la tenue d'un registre de traitement de données. Les entreprises devront donc désormais recenser tous les traitements de données. On entend par traitement de données, toute collecte, stockage, utilisation, destruction ou encore partage des données. En outre, les données à caractère personnel correspondent à toute donnée se rapportant à une personne identifiée ou identifiable (nom, prénom, adresse...). Il s'agit donc d'un spectre très large.
Lutter contre les risques d'atteinte à la vie privée des utilisateurs
Autre point important du règlement : identifier les traitements sensibles pour la vie privée des utilisateurs. En effet, dès l'instant où un traitement à risque est décelé par l'entreprise, celle-ci devra mener une étude d'impact sur la vie privée, dit encore PIA (Privacy Impact assessment). Cela implique pour l'entreprise de décrire minutieusement le traitement en question, d'en évaluer les risques puis de mettre en place toutes les actions nécessaires à la garantie d'une sécurité maximale.
Par ailleurs, les principes privacy by design et by default sont au coeur du nouveau règlement. Le premier consiste pour les entreprises à garantir un niveau de confidentialité et de sécurité des données maximal, dès la conception d'un nouveau produit ou service. Le second, permet d'assurer la protection de la vie privée des utilisateurs du produit ou service. Cela consiste en pratique à créer une obligation de portabilité des données au profit des utilisateurs ainsi qu'un droit de modifier ou effacer ses données. En outre, cela implique une obligation de consentement pour le traitement des données.
Nommer un Data Protection Officer (DPO)
La désignation d'un Data Protection Officer (anciennement Correspondant Informatique et Libertés) sera désormais obligatoire pour les entreprises publiques ainsi que pour les sociétés traitant des données sensibles (données de santé ou bancaires par exemple) ou en masse. Celui-ci constituera un atout majeur pour guider l'entreprise dans sa mise en conformité au RGPD. En effet, celui-ci dispose de compétences juridiques et techniques poussées.
Jouer la transparence et respecter le droit des personnes
Un autre point essentiel du RGPD est la transparence. Elle s'illustre par la création de nouveaux droits pour les personnes concernées par le traitement et la réaffirmation du consentement. En effet, les personnes concernées par le traitement doivent systématiquement avoir la possibilité de donner leur accord ou de refuser.
Ils doivent en outre être informés de façon claire et intelligible de l'utilisation de leurs données. Les cases pré-cochées sont désormais à bannir et l'entreprise devra être capable de prouver à tout moment qu'elle a obtenu le consentement de la personne concernée par le traitement de données.
Le droit à la portabilité des données et le droit à l'oubli permettent aux personnes concernées par le traitement de disposer à leur guise de toutes les données collectées par l'entreprise à leur sujet. Elles pourront ainsi désormais demander l'effacement de leurs données ou leur obtention en vue de les transmettre à une société tierce.
En outre, les droits des mineurs de moins de 16 ans sont précisés ; Le traitement de leurs données requiert désormais obligatoirement l'accord de leurs représentants légaux.
Notifier les cas de violation de la vie privée
Dans le cas d'une violation de la vie privée des utilisateurs, les entreprises seront tenues de notifier celle-ci à la CNIL dans un délai maximal de 72h ainsi qu'en informer les personne concernées. En outre, les utilisateurs auront la possibilité de demander la réparation des préjudices moraux et matériels consécutifs à cette violation.
Des sanctions lourdes
Le montant des sanctions prévus par la loi du 6 janvier 1978 dite loi "Informatique et Libertés" ne pouvait excéder 300. 000 euros. Avec le RGPD, les autorités pourront prononcer des amendes d'un montant nettement supérieur : selon la catégorie de l'infraction, de 10 à 20 millions d'euros ou, dans le cas d'une entreprise, de 2 à 4 % du chiffre d'affaires annuel mondial. Il s'agit là d'obliger au maximum les entreprises à se conformer à cette nouvelle législation.
Ainsi, le texte a pour mission principale de renforcer les droits des utilisateurs vis-à-vis de leurs données à caractère personnel. Il a également pour but de favoriser un climat de confiance entre les individus et les entreprises.
Laura Tuszynski
Commentaires
Enregistrer un commentaire