Le 25 mai de cette année, le règlement général sur la protection des données (RGPD) est officiellement devenu applicable en remplacement de la directive 95/46/CE.
Le fait qu’il s’agisse d’un règlement est la première différence par rapport à la législation précédente.
Lire également : Quelques clics pour joindre le service client d’Orange
La directive précédente – qui, par définition, établit un objectif que tous les pays de l’UE doivent atteindre, en laissant à leur législation nationale le soin de définir comment ces résultats doivent être atteints – a donné lieu à de nombreuses transpositions différentes de la loi, qui ont défini un cadre normatif fragmentaire et inégal, créant des déséquilibres et une diversité de règles pour les entreprises exerçant leurs activités dans l’UE.
Le nouveau règlement est – au contraire – obligatoire dans tous ses éléments et directement applicable dans chacun des États membres de l’Union européenne.
A lire également : Pourquoi avoir un site d’e-commerce aide-t-il à augmenter ses ventes ?
L’évolution technologique rapide et la mondialisation posent de nouveaux défis en matière de protection des données à caractère personnel. Cette évolution nécessitait un cadre juridique plus solide et plus cohérent pour la protection des données dans l’Union européenne, soutenu par des mesures d’exécution efficaces, qui créent le climat de confiance nécessaire pour permettre le développement de l’économie numérique dans l’ensemble du marché intérieur.
Par conséquent, RGPD vise à éliminer l’incertitude juridique et la perception répandue du public selon laquelle les transactions et les interactions en ligne présentent des risques pour la protection des personnes.
Pour atteindre ces objectifs, le règlement a introduit un ensemble de règles innovantes.
Sanctions en cas d’atteinte à la protection des données
Le règlement impose de lourdes amendes aux organisations qui ont subi une violation de données : jusqu’à 4 % du chiffre d’affaires annuel total, soit un montant de 20 millions d’euros.
- Même si l’entreprise n’a pas son siège en Europe, elle devra quand même se conformer au règlement.
Les organisations non communautaires opérant dans l’UE sur les données à caractère personnel des citoyens de l’UE et fournissant des produits ou des services à des clients de l’UE peuvent également être confrontées au long bras de la loi si un incident les impliquant est signalé.
La définition des données personnelles est plus large
Les catégories de données considérées comme critiques pour l’identification d’un individu sont de plus en plus nombreuses : identité génétique, psychologique, économique, culturelle ou sociale. Les entreprises devraient prendre des mesures pour réduire la quantité de renseignements personnels qu’elles conservent et s’assurer qu’elles ne conservent pas les renseignements plus longtemps que nécessaire.
Modifications aux règles pour obtenir un consentement valide
Le document expliquant l’octroi du consentement au traitement des données doit être simplifié et transparent. Le consentement silencieux ne suffit plus : le consentement doit être donné sous une forme claire et affirmative.
- Pour certaines entreprises, la nomination d’un délégué à la protection des données (DPD) est obligatoire.
L’article 35 du RGPD stipule que tous les organismes publics doivent nommer un délégué à la protection des données. Un délégué à la protection des données est requis lorsque les principales activités du responsable du traitement ou du sous-traitant comprennent « un contrôle régulier et systématique à grande échelle des personnes concernées », ou lorsque l’entreprise est engagée dans un traitement à grande échelle de « catégories particulières de données à caractère personnel ». Vous pouvez en savoir plus sur le site de Geneva Compliance.
Introduction obligatoire de l’évaluation des risques d’entrave à la vie privée
Avant d’entreprendre des activités de traitement de données hautement sensibles, une approche fondée sur une analyse du risque associé doit être adoptée. Les responsables du traitement sont tenus de procéder à des évaluations des incidences sur la vie privée dans les cas où les risques d’atteinte à la vie privée sont élevés, afin d’analyser et de minimiser les risques pour leurs personnes concernées.
Nouvelles obligations de notification en cas de manquement
Les responsables du traitement sont tenus de signaler les violations de données à leur autorité chargée de la protection des données, sauf s’il est peu probable qu’elles mettent en danger les droits et libertés des personnes concernées. Il existe également une obligation d’informer les personnes dont les données ont été violées si leur vie privée est en danger.
Le transfert international de données
Étant donné que le règlement s’applique également aux sous-traitants de données, les organisations doivent être conscientes des risques liés au transfert de données vers des pays extérieurs à l’Union européenne. Les responsables du traitement de données non ressortissants de l’UE devraient désigner leurs représentants dans l’UE.
Responsabilité du traitement des données
Quiconque effectue des activités de traitement des données a des obligations et des responsabilités légales directes, ce qui signifie qu’il peut être tenu directement responsable d’une atteinte à la protection des données. Les accords contractuels devront être mis à jour et les accords futurs devront prévoir l’identification et le partage des responsabilités et des obligations entre le responsable du traitement et le sous-traitant.