Le nouveau règlement européen sur la protection des données, également abrégé RGPD (Règlement général sur la protection des données), peut avoir une incidence considérable sur le traitement des données à caractère personnel réalisé par votre organisation. Il incombera non seulement à votre organisation de veiller à se conformer à ce règlement au niveau du traitement et de la protection des données à caractère personnel, mais elle pourrait également être pénalisée pour non-conformité et pour tout dommage découlant de violations de données. Le règlement général sur la protection des données vise à harmoniser les règlements de protection des données au sein de l’UE, ainsi qu’à renforcer et à uniformiser la protection des données. Ce règlement concerne la sécurité des données à caractère personnel pour les citoyens de l’UE et les individus au sein de l’UE, mais régule aussi l’exportation de données à caractère personnel en dehors de l’UE. Les objectifs primaires de la Commission à travers le RGPD consistent à rendre aux citoyens le contrôle de leurs données personnelles et à simplifier l’environnement réglementaire pour le commerce international en uniformisant les réglementations au sein de l’UE.
Le règlement a été adopté le 27 avril 2016. Il entrera en vigueur le 25 mai 2018, après une période de transition de deux ans. Il remplacera ainsi la directive actuelle 95/46/CE datant de 1995 relative à la protection des données. Contrairement à une directive, le règlement ne nécessite pas d’être transposé dans la législation nationale par les gouvernements.
Portée
- Rôles et obligations tant au niveau légal que réglementaire
- Conscientisation (valeur, coûts, risques, conformité, architecture)
- Maturité et vision
- Impact sur le business model
Défis
Le RGPD remplacera toutes les lois nationales actuelles relatives à la protection des données au sein de l’UE. Voici un relevé des principaux changements attendus dont les organisations devront tenir compte et auxquels elles devront s'adapter :
Élargissement de la portée territoriale
Le RGPD s'applique aux organisations et à leurs sous-traitants en dehors de l’UE. En pratique, cela implique qu’une entreprise hors de l’UE s'adressant à des consommateurs situés au sein de l’UE sera soumise au RGPD.
Responsabilité et vie privée dès la conception
Le RGPD rend les organisations entièrement responsables de prouver leur conformité au règlement. Elles devront donc documenter leur conformité, réaliser des évaluations d'impact de la protection des données pour les traitements de données risqués, et implémenter une protection des données dès la conception et par défaut dans leurs processus opérationnels.
Consentement
La personne à qui se rapportent les données devra fournir son consentement : librement pour le traitement de ses données à caractère personnel et explicitement pour les données sensibles, par une déclaration ou une action affirmative claire marquant son accord avec le traitement. Le consentement peut être retiré à tout moment. L’organisation doit être en mesure de prouver que le consentement a été donné.
Notification de violation de données
Les organisations doivent signaler les violations de données à l’autorité chargée de la protection des données sans délai et, dans la mesure du possible, dans les 72 heures à dater de la constatation. Une justification étayée doit être fournie en cas de non-respect du délai. L'organisation doit informer les personnes concernées du fait que leurs données ont été compromises.
Rôle des sous-traitants
Parmi les principaux changements introduits par le RGPD, citons les obligations directes incombant aux sous-traitants. Celles-ci comprennent l’implémentation de mesures techniques et organisationnelles, ainsi que la notification immédiate des violations de données par votre organisation.
Sanctions
Le RGPD prévoit des sanctions en cas de violations imposant des amendes pour les infractions au règlement pouvant s'élever à 4 % du chiffre d'affaires mondial annuel pour les violations de données et à 2 % du chiffre d'affaires mondial annuel pour la non-conformité.
Délégué à la protection des données (DPD)
Dans certaines circonstances spécifiques, les organisations ou sous-traitants doivent désigner un délégué à la protection des données. Le DPD devra disposer de connaissances approfondies suffisantes et pourra être engagé par l'organisation ou travailler sur la base d'un contrat de service.
Droit à l’oubli
Les individus peuvent demander la suppression immédiate de leurs données à caractère personnel par l'organisation. Par exemple, lorsqu’ils réfutent leur consentement et qu’il n’existe pas d'autre fondement juridique justifiant le traitement.