Changements clés liés au RGPD

 

L’introduction du RGPD représente le changement le plus important pour les lois de protection des données au sein de l’Union Européenne et à travers le monde de ces dernières années. Le RGPD ne change pas fondamentalement les règles de base de la Directive sur la Protection des Données de 1995. Il étend plutôt les exigences de la Directive de manière significative en mettant en place une série de nouvelles obligations pour les organisations afin d’appuyer les principales règles.
 

 

Scope of the GDPR

Harmonisation

Le Règlement est applicable dans les Etats membres de l’Union Européenne depuis le 25 mai 2018 sans pour autant avoir besoin d’adopter de nouvelles lois nationales. Cependant, certaines divergences nationales subsistent car les Etats membres ont le droit de modifier certaines des obligations mises en place par le RGPD.

Guichet unique

Les organisations basées dans plusieurs Etats membres pourront choisir une seule autorité nationale chargée de la protection des données afin d’agir en tant que principale autorité pour toutes les problématiques de protection des données auxquelles l’organisation fera face au sein de l’Union Européenne.
Cela devrait permettre de limiter la charge administrative pour les organisations basées dans plusieurs pays, qui devraient sinon interagir avec une autorité de contrôle dans chacun des Etats dans lesquels elles sont basées.

Portée territoriale étendue

Le RGPD concerne toutes les organisations – qu’il s’agisse d’une société commerciale ou d’une autorité publique – collectant, conservant ou traitant les données personnelles d’individus européens, et ce « quelle que soient leur nationalité ou leur résidence ». Les organisations basées en dehors de l’Union Européenne supervisant ou offrant des produits et services aux individus européens devront respecter le Règlement et fournir le même niveau de protection des données personnelles.

Les sous-traitants sont concernés

Le RGPD concerne les sous-traitants, fournisseurs de services traitant les données personnelles pour le compte d’autres organisations. Les sous-traitants doivent se conformer à un certain nombre d’obligations, y compris le maintien des documentations adéquates, les normes de sécurités appropriées, l’évaluation d’impact sur la protection des données et les règles concernant les transferts internationaux. Les organisations et les sous-traitants peuvent être tenus solidairement responsables en cas de violation de données.

 


Plus de droits pour les personnes concernées

Données personnelles sensibles

Des contrôles plus strictes ont été mis en place concernant le traitement de catégories particulières de données à caractère personnel, dont la définition a été élargie afin d’inclure les données génétiques et biométriques telles que les empreintes digitales et rétiniennes. Les données personnelles comprennent également les identifiants de connexion uniques, y compris les adresses IP, les identifiants d’appareils mobiles, et les données de géolocalisation concernant un individu.

Validité du consentement

La personne concernée doit donner son consentement pour le traitement de ses données personnelles en toute liberté et aux fins indiquées lors de la collecte. Les formulaires de consentement doivent être présentés en des termes simples et clairs, soulignant les raisons de la collecte et du traitement des données et doivent aussi préciser les (futurs) transferts de données vers des tierces parties. Le silence ou la non-activité de la personne concernée ne constituent pas un consentement. Il est à noter que le consentement à des services en ligne d’un enfant de moins de 16 ans n’est valide que s’il est approuvé par un parent.

Droits des individus

Le « droit de portabilité » et le « droit à l’oubli » sont deux nouveaux droits accordés aux individus selon le RGPD. Le droit de portabilité offre aux résidents un accès plus facile à leurs données. Sur demande, les individus pourront transférer toutes leurs données d’un fournisseur de produits et/ou services à un autre. Cela a été mis en place afin de favoriser une concurrence saine et augmenter la responsabilité des fournisseurs. Selon le « droit à l’oubli » les individus peuvent, dans certains cas, demander à ce que leurs données personnelles soient supprimées.

 


Une responsabilité plus stricte

Enregistrement des traitements de données

Les responsables du traitement et les sous-traitants doivent démontrer leur conformité en documentant leurs activités de traitement des données et en les rendant disponibles auprès des autorités de contrôles, sur demande.
Ces enregistrements doivent détailler : quelles données sont traitées ainsi que, où, comment et pourquoi elles sont traitées.

Evaluation d’Impact sur la Protection des Données (DPIAs)

L’évaluation d’impact sur la protection des données est devenue un prérequis au traitement des données personnelles pouvant engendrer des risques importants pour les droits et libertés des individus.
Elle permet d’évaluer la probabilité et la sévérité des risques encourus en suivant le processus de traitement des données proposé et permet d'analyser les sauvegardes à mettre en place afin de limiter les risques.

Protection des données dès la conception

« La protection des données dès la conception » requiert de la part des organisations qu’elles intègrent les mesures de protection des données – techniques et organisationnelles – durant toute la phase de conception de nouveau produits, systèmes ou procédures commerciales, plutôt que de ne s’en préoccuper que dans un second temps.

Délégué à la protection des données (DPO)

Un délégué à la protection des données doit être nommé s’il s’agit d’une autorité publique, si l’organisation mène des contrôles systématiques de données personnelles à grande échelle ou si elle traite de grandes quantités de données personnelles sensibles. Le DPO, qui doit être expert en matière de protection des données, devra superviser la conformité de l’organisation avec le RGPD.

Signalement des violations de données

Le RGPD présente une obligation particulière pour les organisations qui devront signaler toute violation de données à leur autorité de contrôle sous un délai de 72 heures après en avoir pris connaissance.
Lorsque le risque est élevé pour les individus, ils doivent être informés sans délais.

Des sanctions plus sévères

Les amendes maximales autorisées par le RGPD ont pour but d’attirer l’attention et d’encourager la mise en conformité – les autorités de contrôles peuvent imposer les sanctions en cas de non-conformité allant jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus élevé.
 


Livre Vert gratuit

Ce nouveau règlement prévoit que, au fil du temps, les autorités de contrôles et autres parties, mettront en place des codes de pratiques, conseils et conformité afin d’aider les organisations à se conformer.
Alors que ces outils sont développés, les exigences de conformité deviendront plus spécifiques et moins sujettes à des interprétations subjectives.

Notre livre vert, Règlement Général Européen sur la Protection des Données – Guide de Conformité, vous fournit une présentation plus détaillée du Règlement, des domaines clés de changements et des points critiques dont les entreprises devront prendre connaissances.

Télécharger votre Livre Vert dès maintenant >>
 


Discutez avec l'un de nos experts

Contactez notre équipe RGPD afin de discuter de vos besoins plus en détail et d'en savoir plus sur nos solutions.