Le règlement général sur la protection des données personnelles (UE) 2016/679, plus souvent appelé le «RGPD», est le nouveau règlement remplaçant la directive 95/46/CE et s’appliquant aux personnes morales ou physiques traitant des données à caractère personnel. Il est applicable à partir du 25 mai 2018 après une période de transition de deux ans débutée en 2016.
A quoi sert le RGPD ?

Le RGPD est la réglementation applicable lorsqu’une personne traite des données à caractère personnel. C’est à dire qu’elle utilise des données permettant d’identifier des personnes à des fins diverses (profilage, surveillance, marketing, RH etc.).

Les données à caractère personnel sont toutes les données permettant d’identifier directement ou indirectement une personne physique. Dès lors qu’un individu peut être identifié par la personne traitant les données, toutes les données la concernant auquelle cette personne peut avoir accès, peuvent être considérées comme à caractère personnel (ex: nom, couleur des yeux, intérêts, commentaires, photos, habitudes de vie, heure de visite, emails, historique, transactions financières, amis/réseaux etc.).

Du fait des nouvelles technologies et du volume croissant de données collectées, il est de plus en plus facile d’analyser le comportement des individus ou de connaître leur passé (profil de réseaux sociaux etc.).  Le Réglement a pour but de répondre à ces risques accrus d’intrusion disproportionné ou non autorisé dans la sphère intime des individus en appliquant les principes de protection des données (voir ici ) de manière plus stricte, en donnant plus de contrôle aux individus sur leurs données  et en responsabilisant les personnes traitant ce types données (c-à-d. les responsables du traitement et sous-traitants (voir ici pour plus de détails sur ces notions)).

Quels sont les principales nouveautés ?

Le nouveau format (règlement au lieu d’une directive) vise à assurer une approche et une application cohérente des règles relatives à la protection des données au sein de l’Union Européenne. En effet ces dernières s’appliqueront directement dans chaque État Membre sans qu’il soit nécessaire de disposer d’une loi locale.

Toutefois, certaines divergences subsistent entre les États Membres dans des domaines spécifiques tels que le traitement des données relatives à la RH ou à la liberté d’expression ( ex: l’utilisation par les journalistes de données à caractère personnel). Ainsi chaque Etat membre a publié une loi nationale pour répondre aux points que le RGPD ne couvraient pas.

Le RGPD est d’application extra-territoriale puisqu’il concernent à la fois les organisations établies dans et en-dehors l’Union européenne lorsque certains critères sont remplis (voir «Le RGPD s’applique-t-il à votre activité ?»). Ceci permet de toucher plus directement les entreprises située hors UE mais opérant sur les marchés européens.

La principe directeur du RGPD est le principe de responsabilité. Les responsables du traitement ne doivent plus notifier les autorités de leur activités de traitement mais en retour, il doivent être en mesure de démontrer leur conformité au réglement. Ceci implique de nouvelles obligations pour les responsables du traitement (voir ici) et les sous-traitants (voir ici).  En particulier, le responsable du traitement doit respecter les principes de protection des données dès la conception et par défaut lorsqu’il projette de mettre en oeuvre un traitement de données,  conduire des analyses d’impacts sur la protection des données (AIPD) lorsque le traitement est susceptible d’engendrer des risques élevés pour les droits et libertés des personnes concernées et être en mesure de notifier certaines failles de sécurité dans un délai 72 heures.

Les individus voient leurs droits et leur contrôle sur les données renforcés. Les responsables du traitement doivent fournir des informations plus détaillées aux individus concernées (voir ici), et le droit des personnes sur leur données est renforcées, détaillées et/ou rendu explicite (ex: droit à l’oubli, droit à la portabilité des données, droit de retrait du consentement à tout moment etc.). (voir les droits des personnes ici)

Une coopération accrues des autorités (CEPD, guichet unique, mécanisme de coopération). Le RGPD prévoit la création du Comité Européen à la Protection des Données (CEPD) réunissant les autorités de contrôle de chaque Etat membre. Celles-ci ont l’obligation de coopérer via un mécanisme de contrôle de la cohérence pour assurer une application uniforme du Règlement. Par ailleurs, lorsqu’un traitement est transfrontalier, un système de guichet unique permet à une autorité chef-de-file, de superviser les éventuels contrôles et de sanctionner le acteurs fautifs au nom de toutes les autres autorités.

Des sanctions potentiellement très élevées. De moins d’un million d’euros en 2016, le montant des amendes potentielles peut s’élever à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros, le montant le plus élevé s’appliquant. Les sous-traitant peuvent également être directement sanctionnés par les autorités de contrôle.

Cela devrait encourager toute organisation à prendre la protection des données personnelles au sérieux. Pour plus de détails, voici un lien vers le RGPD et ici une version plus accessible

Partage

Qu’est ce que le RGPD ?
Étiqueté avec :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *