RGPD : le nouveau cadre légal pour la protection des données personnelles

RGPD : le nouveau cadre légal pour la protection des données personnelles

Posté le 04/04/2018

RGPD. Derrière cet acronyme se cache le nouveau cadre légal européen relatif à la gestion et à la sécurisation des données personnelles applicable dès maintenant et obligatoire à partir du 25 mai 2018 : le Règlement Général pour la Protection des Données. Le RGPD actualise et adapte la directive européenne du 24 octobre 1995 au regard des nouveaux usages et nouvelles évolutions technologiques notamment numériques (big data, objets connectés, cloud…).

S'agit-il d'une révision générale de la protection des données ou d'une révolution ?  C'est, à tout le moins, une réforme en profondeur de l'exploitation des informations  personnelles dans le domaine professionnel qui s'appliquera dans tous les pays de l'Union et concernera toutes les entreprises traitant des données personnelles de résidents de l'Union européenne, qu'elles soient basées en Europe ou non. Avec à la clé une nouvelle règle du jeu reposant sur ce que les juristes appellent l'inversion de la charge de la preuve : les consommateurs ou citoyens n'auront plus à prouver que leurs données personnelles ont été exploitées contre leur gré ou de façon abusive, ce sont les entreprises gestionnaires de ces données qui devront apporter la preuve qu'ils respectent bien la législation. Les formalités à la CNIL (Commission Nationale de l'Informatique et des Libertés) pour la France seront dorénavant réduites (fin des déclarations, sauf cas spécifiques) mais la responsabilité des entreprises sera plus fortement engagée.  En résumé, les droits des individus mais surtout les obligations des entreprises seront accrus en terme d'information, de responsabilité et de sécurité.

L'essentiel du nouveau règlement tient en 6 points :

QUI EST CONCERNE ?

Toutes les organisations traitant des données personnelles: administrations, établissements publics, associations et bien sûr les entreprises et leurs sous-traitants. A noter que les sous-traitants devront dorénavant prouver à leurs clients ou donneurs d'ordre, à tout moment, le respect des obligations.  Les obligations de mise en conformité varieront en fonction de la sensibilité et de la volumétrie des données qu'elles traiteront ainsi que de l'impact de ces données sur l'activité de l'organisation. Ainsi une start-up manipulant des données sur la santé ou sur les opinions politiques de personnes devra se conformer à des règles plus contraignantes que des  entreprises de taille beaucoup plus importante mais ayant un usage de données moins sensibles.

QUELLES DONNEES SONT VISEES ?

Toute information qui se rapporte à une personne physique identifiée ou identifiable : le nom, le prénom, l'adresse postale, la géolocalisation, l'adresse électronique (personnelle ou professionnelle), l'adresse IP, les cookies, n° d'identification (carte d'identité, carte de sécurité sociale…).

Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, biométriques, de santé, concernant l'orientation sexuelle sont interdits, sauf cas spécifiques.

QUELS DROITS POUR LES PERSONNES ?

La protection des droits des individus est clairement renforcée par le nouveau règlement. Les personnes devront être informées d'une façon concise, compréhensible et aisément accessible sur l'usage des données personnelles collectées, devront donner leur consentement, lorsqu'il est requis, pour ce traitement et pourront s'y opposer. L'objectif visé est de redonner aux personnes la maîtrise des données les concernant (ce qui est loin d'être le cas aujourd'hui) incluant la possibilité de récupérer les données les concernant pour leur propre usage. A noter qu'à l'instar du droit de la consommation, des actions collectives pourront être menées contre des organisations soupçonnées de ne pas être en conformité avec le RGDP. Enfin et pour la première fois, la situation particulière des mineurs a été prise en compte (clarté et simplicité de l'information sur le traitement des données, droit au retrait contre ce traitement à l'âge adulte).

QUELLES OBLIGATIONS POUR LES ORGANISATIONS ?

En passant de la procédure des formalités préalables (sous forme de déclaration et d'autorisations auprès de la CNIL) à la logique de conformité, le nouveau règlement invite à la responsabilisation des organisations. Elles devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires et adaptées à leur activité pour la protection des données personnelles. Des mesures qui devront s'appliquer tout au long du process de développement des produits ou services : dès la conception (pour minimiser la quantité de données à traiter par exemple) et de façon continue. Les organisations devront être en capacité de démontrer, à tout moment, la conformité des dispositions mises en place en précisant notamment qui est l'auteur de la collecte, la durée de la conservation des données, la finalité de leur exploitation et bien sûr, comme dans le régime actuel, devront informer les personnes de leurs droits à modification ou à suppression des données notamment.

COMMENT PROUVER SA CONFORMITE ?

Le RGPD oblige notamment les entreprises à :

  • Recueillir la preuve du consentement des individus pour la finalité du traitement de données (sauf, notamment, dans le cadre de l'exécution d'un contrat, pour le respect d'une obligation légale ou l'exécution d'une mission de service public)
  • Informer les individus sur les finalités et la durée de conservation des données, ainsi que leurs droits, au moment de la collecte des données
  • Tenir un registre listant tous les traitements de données
  • Analyser l'impact des éventuels traitements à risque fort
  • Notifier à la CNIL toute faille de sécurité dans son système de traitement des données (dans un délai de 72 heures) et prévenir les personnes concernées en cas de destruction, perte ou fuite dans les meilleurs délais.
  • Désigner un Délégué à la Protection des Données (DPO) pour les entreprises traitant de données de façon régulière,  systématiques et à grande échelle des données personnelles (obligatoire également dans le secteur public). Le DPO peut aussi être partagé entre plusieurs structures.

QUELLES SANCTIONS ?

L'addition en cas d'infraction peut être lourde. Selon la catégorie de l'infraction constatée, l'amende s'échelonne de 2% à 4% du chiffre d'affaires annuel mondial (ou de 10 à 20 millions d'euros). Les autorités de protection auront aussi à leur disposition une série de sanctions administratives graduées allant du simple avertissement à l'ordre de rectification ou de suppression des données incriminées.

L'entreprise devra aussi mettre la main au porte-monnaie pour réparer le préjudice subi par toute personne ayant subi un dommage matériel ou moral (sans plafonnement de l'indemnité de réparation) dans le traitement de données personnelles.

 

Pour en savoir plus sur le nouveau cadre légal et découvrir notamment les étapes et conseils dans la mise en œuvre du RGPD, à consulter le site de la CNIL . En complément et en résumé, à lire la fiche "le point sur la RGPD".

Sur le rôle des CCI

 

Réservez votre date du 14 juin, à la CCI : conférence-débat sur

RGPD & entreprises : ce qu'il vous faut mettre en oeuvre - inscriptions

 

Revenir à la liste des actualités
retour en haut