RGPD

Texte régissant en Europe, ayant pour sujet la protection des données personnelles. Beaucoup plus stricte que la Directive de 1995, il en est aussi plus sévère.

Il n’a pas été traduit dans le droit de chaque pays pour éviter la limitation des effets locaux par les parlements. On peut aussi dire GDPR (General Data Protection Regulation) qui n’est autre que l’acronyme anglais, plus utilisé.

Le data protection officer peut être dpo internalisé ou un dpo externalisé. Le délégué est chargé de mettre en œuvre  la conformité du règlement européen RGPD. 

UNE DÉFINITION DU RGPD (RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES)

Le règlement général sur la protection des données (RGPD), adopté par le Parlement européen et le Conseil en avril 2016, remplacera la directive 95/46/CE sur la protection des données au printemps 2018 en tant que loi principale régissant la manière dont les entreprises protègent les données personnelles des citoyens de l'UE. Les entreprises qui sont déjà en conformité avec la directive doivent s'assurer qu'elles sont également en conformité avec les nouvelles exigences du GDPR avant que celui-ci n'entre en vigueur le 25 mai 2018. Les entreprises qui ne se conformeront pas à la directive GDPR avant la date limite seront soumises à de lourdes sanctions et amendes.

Les exigences de la GDPR s'appliquent à chaque État membre de l'Union européenne, dans le but de créer une protection plus cohérente des consommateurs et des données personnelles dans les différents pays de l'UE. Voici quelques-unes des principales exigences de la GDPR en matière de protection de la vie privée et des données :

* Exiger le consentement des sujets pour le traitement des données

* Anonymisation des données collectées pour protéger la vie privée

* Fournir des notifications de violation de données

* Traitement sécurisé du transfert de données par-delà les frontières

* Obliger certaines entreprises à nommer un responsable de la protection des données pour surveiller le respect du GDPR

En termes simples, le GDPR impose un ensemble de normes de base aux entreprises qui traitent les données des citoyens de l'UE afin de mieux protéger le traitement et la circulation des données personnelles des citoyens.

QUI EST SOUMIS AU RESPECT DU RGPD ?

L'objectif de la GDPR est d'imposer une loi uniforme sur la sécurité des données à tous les membres de l'UE, afin que chaque État membre n'ait plus besoin de rédiger ses propres lois sur la protection des données et que les lois soient cohérentes dans toute l'UE. Outre les membres de l'UE, il est important de noter que toute entreprise qui commercialise des biens ou des services à des résidents de l'UE, quel que soit son lieu d'implantation, est soumise à la réglementation. Par conséquent, la RGPD aura un impact sur les exigences en matière de protection des données à l'échelle mondiale.

EXIGENCES DU RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES 2018

Le RGPD lui-même contient 11 chapitres et 91 articles. Voici quelques-uns des chapitres et articles qui ont le plus grand impact potentiel sur les opérations de sécurité :

* Articles 17 et 18 - Les articles 17 et 18 du RGPD donnent aux personnes concernées un plus grand contrôle sur les données personnelles qui sont traitées automatiquement. Il en résulte que les personnes concernées peuvent transférer plus facilement leurs données personnelles entre prestataires de services (également appelé "droit à la portabilité"), et qu'elles peuvent demander à un responsable du traitement d'effacer leurs données personnelles dans certaines circonstances (également appelé "droit d'effacement").

* Articles 23 & 30 - Les articles 23 et 30 exigent des entreprises qu'elles mettent en œuvre des mesures raisonnables de protection des données afin de protéger les données personnelles et la vie privée des consommateurs contre la perte ou l'exposition.

* Articles 31 & 32 - Les notifications de violation de données jouent un rôle important dans le texte du RGPD. L'article 31 précise les exigences relatives aux violations de données individuelles : les responsables du traitement doivent notifier les autorités de contrôle (AS) d'une violation de données à caractère personnel dans les 72 heures suivant la prise de connaissance de la violation et doivent fournir des détails spécifiques sur la violation, tels que la nature de celle-ci et le nombre approximatif de personnes concernées. L'article 32 oblige les responsables du traitement à notifier les violations aux personnes concernées dans les plus brefs délais lorsque ces violations font courir un risque élevé à leurs droits et libertés.

* Articles 33 & 33a - Les articles 33 et 33a exigent que les entreprises réalisent des évaluations d'impact sur la protection des données afin d'identifier les risques pour les données des consommateurs et des examens de conformité à la protection des données pour s'assurer que ces risques sont pris en compte.

* Article 35 - L'article 35 exige que certaines entreprises désignent des responsables de la protection des données. Plus précisément, toute entreprise qui traite des données révélant les données génétiques, la santé, les origines raciales ou ethniques, les croyances religieuses, etc. d'un sujet doit désigner un responsable de la protection des données ; ces responsables servent à conseiller les entreprises sur le respect du règlement et servent de point de contact avec les sociétés de surveillance. Certaines entreprises peuvent être soumises à cet aspect de la RGPD simplement parce qu'elles collectent des informations personnelles sur leurs employés dans le cadre des processus de ressources humaines.

* Articles 36 & 37 - Les articles 36 et 37 décrivent la position du délégué à la protection des données et ses responsabilités pour assurer le respect du RGPD ainsi que pour faire rapport aux autorités de contrôle et aux personnes concernées.

* Article 45 - L'article 45 étend les exigences en matière de protection des données aux sociétés internationales qui collectent ou traitent les données personnelles des citoyens de l'UE, en les soumettant aux mêmes exigences et sanctions que les sociétés basées dans l'UE.

* Article 79 - L'article 79 définit les sanctions en cas de non-respect de la RGPD, qui peuvent aller jusqu'à 4 % du chiffre d'affaires annuel global de l'entreprise contrevenante, selon la nature de la violation.

APPLICATION DE LA RGPD ET SANCTIONS EN CAS DE NON-RESPECT

Par rapport à l'ancienne directive sur la protection des données, la RGPD a augmenté les sanctions en cas de non-respect. Les sociétés de surveillance ont plus de pouvoir que dans la législation précédente, car la RGPD fixe une norme dans toute l'UE pour toutes les sociétés qui traitent les données personnelles des citoyens européens. Les sociétés de surveillance disposent de pouvoirs d'enquête et de correction et peuvent émettre des avertissements en cas de non-respect de la directive.