Le Règlement européen du 27 avril 2016 relatif aux données à caractère personnel entrera en application le 25 mai 2018.
Son objectif est de renforcer la protection des personnes sur le territoire de l’Union européenne. Il définit et précise un certain nombre de droits reconnus aux personnes physiques dont les données à caractère personnel font l’objet d’un traitement. Il prévoit également un certain nombre d’obligations à la charge des entreprises.
1. Un champ d’application étendu
À compter du 25 mai 2018, toute société, dès lors qu’elle offre des biens ou des services aux personnes concernées par le traitement dans le territoire de l’Union Européenne, devra appliquer le RGPD.
2. Le principe d’accountability et la fin des obligations déclaratives
Le principe d’accountability est l’un des principes fondamentaux du RGPD. Il désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Ce principe impose aux entreprises de fournir aux autorités de contrôle (en France, la Commission Nationale Informatique et Libertés) la documentation établissant la conformité au Règlement.
Dès lors, les traitements courants devront figurer dans un registre et n’auront donc plus à être déclarés à la CNIL.
3. L’alourdissement des sanctions
Le non-respect des obligations du Règlement est sanctionné par des amendes administratives délivrées par la Commission Nationale Informatique et Libertés. Ces amendes seront considérablement alourdies et pourront s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial (le montant le plus important sera retenu).
La loi pour une République numérique d’octobre 2016 a anticipé l’application du Règlement, certaines sanctions pouvant déjà s’élever à 3 millions d’euros.
4. Le renforcement des droits des personnes concernées par le traitement
De nouveaux droits sont reconnus pour les personnes concernées par le traitement.
Il s’agit par exemple du droit à la portabilité, du droit à l’oubli et du droit à la limitation. En cas de violation de données, des procédures doivent également être définies pour prévenir la CNIL et les personnes concernées.
5. CIL, DPO ?
Le Correspondant Informatique et Libertés (CIL) garantit la conformité de son organisation à la loi Informatique et libertés. Sa nomination témoigne d’un engagement clair en faveur du respect de la vie privée des personnes dont les données sont traitées.
Le CIL désigné par Lamour du Web est le point de contact privilégié avec ses clients. Sa mission principale est de tenir la liste des traitements des données personnelles et de veiller, en toute indépendance, au respect de la loi Informatique et Libertés. Il doit rédiger en fin d’année un bilan de ses activités qu’il tient à la disposition de la Commission Nationale Informatique et Libertés.
La nomination d’un DPO (Data Protection Officer, en français Délégué à la protection des données), obligatoire dans certains cas (*), est l’une des mesures majeures du Règlement. Il prend la suite du Correspondant Informatique et Libertés mais ses attributions sont plus larges. Le DPO, qui entrera en fonctions en mai 2018 pilote en continu la conformité de son organisation et sa nomination doit répondre à des conditions d’intégrité et d’éthique professionnelle.
(*)
Pour les autorités ou les organismes publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
6. De nouvelles obligations pour les sous-traitants
Aujourd’hui, seul le responsable de traitement – qui décide des finalités et moyens du traitement – est responsable.
Le RGPD prévoit qu’un sous-traitant est responsable par principe et le soumet à des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability.
Il a une obligation de conseil relative concernant certains points du règlement (failles, sécurité, destruction des données, contribution aux audits).
Source : https://bienvenue.sellsy.com/s/10169/reglement-general-sur-la-protection-des-donnees–sellsy