Conseil

Qu’est-ce que le RGPD?

Le 25 mai 2018 entrera en application le nouveau Règlement Général sur la Protection des Données personnelles (RGPD ou GDPR en anglais). Ce texte fait beaucoup parler de lui en raison de son ampleur, mais est en soit, assez simple. Explications.

Quel est l’objectif du RGPD ?

Ce nouveau règlement a pour ambition d’uniformiser la protection des données à caractère personnel au sein des différents Etats membres de l’Union Européenne. En France, une loi datant de 1978 encadre déjà la protection des données personnelles (loi Informatique et Libertés).

Au niveau européen, la directive de 1995 est venue fixer le cadre de la protection des données personnelles. Devenue vétuste, elle sera remplacée prochainement par le RGPD qui deviendra le texte de référence. La loi de 1978 est actuellement en cours de modification pour prendre en compte des apports du RGPD.

Le RGPD s’appliquera à toutes les entreprises dès lors que celles-ci traitent des données personnelles au sein de l’Union Européenne. Un traitement de données est une opération ou un ensemble d’opérations effectuées de manière automatisée ou non-automatisée. Il faut entendre par donnée personnelle toute donnée qui rend identifiable directement ou indirectement une personne physique (ex : nom, prénom, mail, adresse IP etc).

Les grandes nouveautés du RGPD

Le RGPD introduit des modifications majeures. Ainsi, il met fin aux déclarations et aux autorisations auprès de la CNIL. En contrepartie, les responsables de traitement se voient confier des obligations et des responsabilités nouvelles. Il s’agit du principe d’accountability, principe directeur du RGPD, en vertu duquel les responsables de traitements doivent mettre en place des mesures techniques et organisationnelles afin de garantir la protection des données personnelles.

Le règlement innove également avec des concepts clés tels que le privacy by design (protection intégrée dès la conception) ou le privacy by default (par défaut, la protection doit être donnée au plus haut niveau possible). Le RGPD accroît les droits des personnes qui ont leurs données collectées. Elles doivent être informées et donner leur consentement de manière explicite pour chaque utilisation faite de leurs données personnelles.

Autre nouveauté, celle de la notification des violations des données à caractère personnel incombant également aux responsables de leur traitement. Cette notification doit être faite aux autorités de contrôle dans les 72 heures (la CNIL pour la France) et aux personnes concernées dans les meilleurs délais.

 La mise en conformité des entreprises

Il conviendra aux entreprises d’instaurer un cadre de gouvernance des données afin de se conformer aux nouvelles obligations prévues par le règlement et assurer le respect du droit des personnes, par une identification des risques en amont.

Les conséquences d’une non-conformité sont lourdes. Outre le risque réputationnel pour l’entreprise, des amendes administratives pourront être prononcées par la CNIL pouvant atteindre 4% du chiffre d’affaire annuel ou 20 millions d’euros.

 

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *