RAPPEL : LE RGPD EN 5 POINTS
Le RGPD adopté le 27 avril 2016 s’appliquera dans toute l’Union européenne à partir du 25 mai 2018.
Le RGPD a pour objet le renforcement du niveau de protection des données à caractère personnel, via l’accentuation de la responsabilité des entreprises collectrices/utilisatrices de ces données.
Quel que soit leur secteur d’activité, les entreprises doivent avoir à l’esprit :
- la responsabilisation engendrée par le RGPD
- et la mise en conformité autonome en amont et tout au long de la durée de vie des traitements de données.
Les entreprises doivent donc revoir leur processus interne.
-
LE CONSENTEMENT RENFORCE ET LA TRANSPARENCE EXIGEE
Le consentement de la personne dont les données sont collectées et traitées, est au centre du RGPD.
Les personnes doivent donner leur accord pour le traitement de leurs données ou pouvoir s’y opposer.
Le consentement de la personne doit être clair.
► Obligation d’informer la personne chaque fois que vous collectez ses données personnelles.
-
L’ALLEGEMENT DES FORMALITES AUPRES DE LA CNIL
Suppression des obligations de déclaration auprès de la CNIL
► dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes.
S’agissant des autorisations à solliciter auprès de la CNIL
► le régime d’autorisation pourra être maintenu par le droit national (par exemple en matière de santé) ou sera remplacé par une nouvelle procédure centrée sur l’EIVP.
Conséquence : La responsabilisation des acteurs
Les Responsables de Traitement et les Sous-Traitants devront :
► mettre en place en interne des mesures de protection des données
► et démontrer la conformité à tout moment (« Accountability »)
… et l’apparition de nouveaux outils de conformité
► La tenue d’un Registre des traitements
► La notification de failles de sécurité (aux autorités et personnes concernées)
► La certification de traitements
► L’adhésion à des codes de conduite
► Le Délégué à la Protection des Données (DPO)
► Les Études d’Impact sur la Vie Privée (EIVP)
-
LES NOUVEAUX DROITS DES PERSONNES
Droit à la portabilité des données
Toute personne pourra récupérer les données qu’elle a fournies, sous une forme réutilisable et les transférer ensuite à un tiers.
Les personnes retrouvent la maîtrise de leurs données.
Droit d’action des associations
Les associations auront désormais la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.
Droit à réparation des dommages
Toute personne ayant subi un dommage du fait de la violation du RGPD, pourra demander au Responsable du Traitement ou au Sous-Traitant une réparation du préjudice subi.
-
LA DESIGNATION D’UN DPO PARFOIS OBLIGATOIRE
Les Responsables de traitement et les Sous-Traitants devront obligatoirement désigner un délégué à la protection des données (DPO) si certaines conditions sont remplies.
En dehors de ces cas, la désignation d’un DPO sera également possible (mutualisé ou externe).
Le DPO est chargé :
► d’informer et de conseiller le Responsable de traitement ou le Sous-Traitant, ainsi que ses employés
► de contrôler le respect du RGPD et du droit national en matière de protection des données
► de conseiller l’entreprise sur la réalisation d’une analyse d'impact (EIVP) et d’en vérifier l’exécution
► de coopérer avec la CNIL et d’être le point de contact de celle-ci.
- DES SANCTIONS RENFORCEES
Des amendes administratives plus sévères
► Les amendes pourront aller jusqu’à 10 à 20 millions d’euros
ou, dans le cas d’une entreprise
► …de 2% à 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Des sanctions à l’égard du RT et/ou du ST
► Les Responsables de Traitement et les Sous-Traitants peuvent faire l’objet de sanctions administratives importantes en cas de violation du RGPD.
CONCLUSION
La nouvelle ligne de conduite des entreprises
► Vérifier que leurs activités de traitement sont soumises aux dispositions du RGPD
► Auditer leur processus actuel de protection des données
► Désigner si nécessaire un DPO
► Mettre en place - si besoin - un Registre de traitements des données
Gwendal Barbaut et Anne Rossoux
Avocats à la Cour IPSIDE AVOCAT
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.