Le RGPD / GDPR en bref…

Qu'est-ce que le RGPD / GDPR ?

Le Règlement Général sur la Protection des Données (RGPD) ou GDPR pour les anglophones, devient le nouveau texte européen de référence en matière de protection des données à caractère personnel. Il sera applicable à compter du 25 mai 2018. Le RGPD harmonise, simplifie et renforce la réglementation déjà en vigueur et participe au mouvement d’évolution de la législation actuelle en Europe en abrogeant la Directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (DPD) adoptée en 1995. Le RGPD est d’application directe, c’est à dire sans qu’une transposition dans la loi nationale soit nécessaire.

Ce nouveau règlement impose un cadre réglementaire unique et harmonisé pour l’ensemble des Etats membres mais aussi pour tous les ressortissants européens et toutes les organisations traitant des données personnelles provenant d’organisations européennes.

Les sanctions s’appliqueront de manière uniforme, même pour les entreprises non européennes traitant des données personnelles de résidents européens.

Télécharger le texte de loi en format PDF

 

Le RGPD versus la Loi Informatique & Liberté de 1978

Tout d’abord, deux nouveaux droits s’ajoutent au droit d’accès, au droit de rectification, au droit à l’effacement et au droit d’opposition : Le droit à la portabilité et le droit à l’oubli.

Les principaux changements sont les suivants :

  • L’établissement d’un cadre juridique harmonisé pour les Etats membres ;
  • Le règlement renforcera les principes fondamentaux de licéité et de loyauté des traitements ;
  • Le règlement introduit la définition du consentement recueilli qui devra être éclairé, univoque et révocable ;
  • Des obligations renforcées pour les sous-traitants ;
  • Pour les traitements transfrontaliers, le règlement prévoit le mécanisme d’un « Guichet Unique », c’est-à-dire que la personne concernée pourra s’adresser à l’autorité de protection des données de son pays, quel que soit le lieu d’implantation de l’entreprise qui traite ses données personnelles.

 

Des sanctions renforcées.

Un pouvoir de la CNIL et des sanctions accrus.

Dès le 25 mai prochain, toutes les organisations non conformes au règlement pourront se voir infliger une sanction pécuniaire pouvant atteindre 4% de leur chiffre d’affaires mondial ou 20 millions d’euro.

Concernant l’indemnisation des personnes physiques, le préjudice matériel et / ou moral, est lui sans plafonnement.

 

Comment faire d'une contrainte une opportunité ?

L’organisation et la définition de la sensibilité de vos données seront des atouts majeurs pour l’efficacité de votre système d’information.

La conformité au RGPD / GDPR est un avantage concurrentiel vous permettant de vous différencier de vos concurrents. En effet, la confiance accrue de vos clients, sera un élément moteur de votre croissance future.

  • Le Principe d’Accountability
    • Obligation de mettre en œuvre le principe de « Responsabilisation » (Accountability). Un système de procédures et une gouvernance qui pourra démontrer le déploiement de votre dispositif de compliance au RGPD / GDPR
  • Tenir un registre des traitements
    • Obligation de tenir un registre des activités de traitement. Cette obligation incombe aussi bien au responsable de traitement qu’à son sous-traitant
  • Sécurisation des données
    • Obligation de sécuriser les données personnelles. Des mesures techniques et organisationnelles doivent être mises en place pour préserver l’intégrité et la confidentialité des données personnelles traitées
  • Transparence en cas de violation des données
    • Obligation de déclarer à la CNIL les violations de données à caractère personnel dans les 72 h à compter de la prise de connaissance de cette violation.  Dans certains cas, l’obligation de notification s’étend également aux personnes concernées
  • Transparence au moment de la collecte
    • Obligation de renforcer la transparence en fournissant une information plus lisible aux personnes concernées  et en facilitant l’exercice de leurs droits. Les nouveaux droits de personnes physiques : droit à l’oubli, droit à la limitation du traitement et droit à la portabilité des données
  • Privacy by design / Privacy by default
    • Obligation de respecter le principe de « Privacy by design » et « Privacy by default ». Toutes les mesures de sécurité doivent être prises en compte dès la conception du traitement et seules les informations nécessaires à la finalité du traitement pourront être collectées et stockées
  • Data Protection Impact Assessment / Analyse d’impact
    • Obligation de mener une analyse d’impact relative à la protection des données sensibles (ou DPIA pour Data Protection Impact Assessment) si celle-ci est requise conformément aux disposition du règlement
  • Nomination d’un Data Protection Officer (DPO) / Délégué à la protection des données
  • Le DPO face au RGDP / GDPR : obligation de nommer un DPO dans les trois cas visés par le règlement (notamment pour les organismes publics et les entreprises traitant régulièrement et à grande échelle de la donnée personnelle). Dans d’autres cas, il est fortement conseillé de nommer un délégué à la protection des données

Notre offre

 

Êtes vous mature ?