Une réglementation européenne pour protéger ses données

Le Règlement Général sur la Protection des données personnelles (RGPD ou GDPR) entrera en vigueur le 25 mai 2018, et ce, pour tous les pays de l’Union européenne. Il a pour but d’adapter l’Europe aux évolutions technologiques afin de renforcer les droits des citoyens concernant la maîtrise de leurs données et d’éviter le développement de la cybercriminalité.

Chaque organisme, privé ou public, doit impérativement être préparé à sa mise en place.

Les pénalités pour les entreprises qui ne respectent pas la réglementation peuvent aller jusqu’à 20 M€ ou 4% du chiffre d’affaires annuel (source : la CNIL, 15 juin 2016).

Quelques éléments pour vous aider à mieux comprendre cette réglementation.

Les données personnelles concernées :

Nom, prénom, adresse mail, adresse postale, numéro de téléphone, coordonnées bancaires, photos, données médicales ...

Les obligations des entreprises basées sur la transparence et la responsabilisation

• Protéger les données dés la conception et par défaut. Permet de limiter la quantité de données traitées dés le départ.

• Désigner un pilote qui exercera une mission d’information, de conseil et de contrôle des données personnelles.

• Alléger les formalités administratives et responsabiliser les acteurs. Mettre en place des procédures de protection des données et démontrer cette conformité sur le long terme.

• Conduire des études d’impact et consulter l’autorité de protection des données pour tout traitement des données à risque (données qui révèlent l’origine raciale, religieuse, les opinions politiques …).

• Notifier l’autorité de supervision (CNIL pour la France) sous 72h, en cas de divulgation de données personnelles.Notification des personnes concernées par les données divulguées peut être également requise.

Un renforcement des droits des personnes

• Consentement renforcé et transparence (information claire, intelligible et facile d’accessibilité aux personnes concernées par les traitements de données). L’expression du consentement est définie et ne doit pas être ambiguë.

• Le droit à la portabilité des données : permet de redonner aux personnes la maîtrise de leurs données.

• Droit renforcé pour le traitement des données des enfants : pour les mineurs de moins de 16 ans, les traitements des données personnelles doivent être clairs et simples. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale.

• Les actions collectives : même principe que pour la législation relative à la protection des consommateurs, les associations actives dans le domaine de la protection des droits et libertés des personnes auront la possibilité d’introduire des recours collectifs.

• Droit à réparation des dommages matériel ou moral : une personne ayant subit un dommage du fait d’une violation du règlement peut obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.