Le RGPD en quelques mots
Le RGPD en quelques mots…
Le Règlement Général sur la Protection des Données est une nouvelle obligation Européenne applicable à toute entreprise ou entité publique exerçant dans l’Union Européenne et susceptible de détenir et/ou traiter des données à caractère personnel et identifiable de citoyens européens.
Il s’agit donc d’un point majeur pour la plupart des entreprises traitant des données de clients et partenaires.
La loi du 20 juin 2018 n°2018-493 relative à la protection des données personnelles adapte le droit français au nouveau cadre de la protection des données défini par le règlement européen 2016/679 du 27 avril 2016.
Le RGPD est applicable depuis le 25 mai 2018.
L’objectif est de sécuriser les données personnelle et la vie privée de tous : c’est à dire «Toute information relative à un individu, qu’elle concerne sa vie privée, professionnelle ou publique. Il peut s’agir d’un nom, d’une photo, d’une adresse e-mail, de coordonnées bancaires, de publications sur des sites de réseaux sociaux, d’informations médicales ou de l’adresse IP d’un ordinateur. »
Toutes les sociétés exerçant en France doivent ainsi respecter dorénavant les protocoles établis par ce Règlement sous le contrôle potentiel de la CNIL afin de veiller au respect des droits des personnes.
Le champ d’application des droits des personnes relatifs à l’utilisation des données personnelles concerne:
- droit d’accès aux données collectées
- droit d’information;
- droit de rectification ;
- droit de consentement et d’opposition ;
- droit à l’oubli (droit à l’effacement) ;
- droit à ne pas être profilé;
- droit au transfert des données.
Renforcement des obligations pour la société responsable de traitement
La société, en tant que responsable du traitement des données, doit mettre en œuvre des mesures techniques et organisationnelles pour s’assurer et démontrer la conformité du traitement au RGPD.
La société doit mettre en place des mesures techniques et organisationnelles fiables pour garantir la protection des données des personnes.
La CNIL (autorité de contrôle en France) sera en capacité de vérifier le respect de l’ensemble de ces obligations.
Mise en place obligatoire d’un registre de traitement
Ce registre devra être fourni à la CNIL en cas de contrôle.
Des analyses d’impact préalable à tout type de traitement de données personnelles doivent être réalisées pour évaluer les risques et décrire les mesures prises pour minimiser ces risques.
Nomination obligatoire d’un délégué à la protection des données
Le RGPD oblige la nomination d’un délégué à la protection des données en charge de l’information, du conseil et du contrôle interne sur la protection des données personnelles au sein de sa société ou organisation; il intervient en pilotage du bon traitement des données par l’entreprise comme tous ses partenaires et prestataires externes (sous-traitants) .
Ce délégué a un devoir d’information envers la CNIL en cas de défaillance relevée et de risque de violation de la vie privée.
De manière globale, aucune donnée personnelle ne pourra être récupérée sans un consentement clair et intelligible accordé par les personnes concernées ressortissants européens.
Des sanctions lourdes prévues pour non défaut de mise en conformité :
Des amendes administratives importantes sont prévues par le RGPD.
Ainsi, le non-respect des obligations du Contrôleur ou de la Société responsable des données peut entraîner une pénalité de 2% du chiffre d’affaires annuel global de l’entreprise ou 10 millions d’euros, le montant le plus élevé étant retenu.
La non-conformité avec les principes, les droits des personnes concernées et les transferts de données vers des pays hors de l’UE, sans base juridique ou présentant une défaillance de conformité au niveau des directives de l’autorité de surveillance, entraîne également une pénalité de 4% du chiffre d’affaires annuel global ou 20 millions d’euros.