DOSSIER RGPD – Les principales dispositions

Back to Articles

DOSSIER RGPD – Les principales dispositions

Le RGPD s’applique à tout établissement faisant de la collecte de données au sein de l’Union Européenne. Ainsi les établissements dont le siège est situé en dehors de cette zone mais qui ciblent des contacts résidant dans l’un des 28 états membres sont concernés.

Il apporte 6 dispositions majeures :

  • Un cadre juridique unifié pour l’ensemble de l’Union Européenne
  • Un renforcement du droit des personnes
  • Une conformité basée sur la transparence et la responsabilisation
  • Des responsabilités partagées et précisées
  • Une mise à jour du cadre pour les transferts de données hors Union Européenne
  • Des sanctions encadrées, graduées et renforcées

Un cadre juridique unifié pour l’ensemble de l’Union Européenne

A compter du 25 mai 2018, l’ensemble des Etat membres de l’Union Européenne respecteront le même cadre juridique en matière de protection des données personnelles. Le règlement concerne les organismes qui traitent les données personnelles collectées mais également (et c’est la grande nouveauté) les sous-traitants de ces organismes.

Le règlement s’appliquera dès lors que le responsable du traitement ou le sous-traitant est établi sur le territoire de l’Union Européenne mais également dès lors que le responsable du traitement ou le sous-traitant met en œuvre des traitements ciblant les citoyens européens.

La CNIL reste le guichet unique de toute entreprise située en France.

Renforcement du droit des personnes

Le principal objectif du RGPD est le renforcement des droits des individus.

Le dispositif implique un consentement « explicite » et « positif » des individus ainsi qu’un droit à l’effacement. Les individus doivent donc être clairement informés de l’usage de leurs données et doivent donner leur accord pour ce traitement.
La charge de la preuve du consentement incombe désormais au responsable du traitement.

Le RGPD va apporter de nouveaux droits aux personnes :

  • Le droit de portabilité, c’est-à-dire que chaque individu peut récupérer ses données sous une forme facilement réutilisable
  • Pour les moins de 16 ans, la rédaction en termes simples du traitement des données
  • L’introduction du principe des actions collectives
  • Un droit à réparation des dommages matériel ou moral

Une conformité basée sur la transparence et la responsabilisation

Le RGPD repose sur une logique de conformité et de responsabilité.
Les responsables du traitement doivent tout mettre en œuvre pour garantir la protection des données personnelles et veiller à limiter la quantité de données traitées dès le départ.
On parle de protection des données dès la conception et par défaut (privacy by design).

Le responsable du traitement et les sous-traitants doivent pouvoir à tout moment démontrer qu’ils ont mis en place les mesures appropriées pour protéger les données.

Des nouveaux outils de conformité sont donc à mettre en place :

  • La tenue d’un registre des traitements mis en œuvre
  • La notification de failles de sécurité (aux autorités et personnes concernées)
  • La certification de traitements
  • L’adhésion à des codes de conduites
  • Le DPO (délégué à la protection des données)
  • Les études d’impact sur la vie privée (EIVP)

Au sein de l’établissement, le RGPD vient renforcer l’organisation avec la nomination d’un délégué à la protection des données.
Cette personne est garante de leur protection.

Des responsabilités partagées et précisées

Le sous-traitant est désormais responsabilisé dans le dispositif. Cela signifie qu’il doit respecter des obligations spécifiques en matière de sécurité, de confidentialité et d’accountability.
Il a également une obligation de conseil auprès du responsable du traitement.

Une mise à jour du cadre pour les transferts de données hors Union Européenne

Les données personnelles peuvent être transférées en dehors de l’Union Européenne avec les outils adéquats. Les données transférées restent toutefois soumises au RGPD.

Des sanctions encadrées, graduées et renforcées

Le RGPD renforce les sanctions en cas de non-respect du règlement. Les autorités de protection peuvent notamment :

  • Prononcer un avertissement
  • Mettre en demeure l’entreprise
  • Limiter temporairement ou définitivement un traitement
  • Suspendre les flux de données
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes
  • Ordonner la rectification, la limitation ou l’effacement des données

Le responsable du traitement et le sous-traitant peuvent également être sanctionnées d’amendes qui peuvent s’élever de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

 

Rendez-vous le mois prochain pour en savoir plus sur les conséquences du RGPD en matière d’organisation.

Partager cet article

Back to Articles