Anticiper le règlement européen sur les données personnelles
Le Règlement général pour la protection des données ( RGPD), directement applicable dans les États membres de l’Union européenne le 25 mai 2018, bouleverse certains aspects du régime de la protection des données personnelles et implique des changements importants pour tous les organismes traitant de telles données.
Quels sont les nouveaux droits pour les personnes sur leurs données personnelles ?
Parmi ces nouveaux droits, on peut citer le droit à l’effacement ( « droit à l’oubli » ) , à la limitation du traitement, à la portabilité et l’opposition au profilage. Le droit à l’information est renforcé de même que l’exigence de consentement, notamment pour les mineurs. Les entreprises vont dès lors devoir adapter leurs pratiques et revoir leurs mentions d’information.
Quelles entreprises sont concernées par le RGPD ?
Ce dernier s’applique aux entreprises européennes, ainsi qu’à celles non établies dans l’Union, dans la mesure où ces dernières proposent des biens ou des services aux citoyens européens ou suivent leur comportement, tels les GAFA ( Google, Apple, Facebook & Amazon).
Quelles obligations pour les entreprises ?
Le RGPD reprend et précise les principes à respecter par tout traitement : licéité*, loyauté et transparence ; finalité spécifique ; exactitude et sécurité des données ; limitation de leur conservation. La grande nouveauté est qu’il instaure une exigence de conformité à tout moment de tout traitement. Le responsable de traitement doit adopter les mesures techniques et organisationnelles garantissant le respect de la réglementation, et ce dès la conception des produits, services ou systèmes traitant de données. Il doit être à même de démontrer cette conformité et l’efficacité des mesures mises en oeuvre et, partant, documenter l’ensemble de ces dernières. Le Règlement impose dans certains cas la désignation d’un délégué à la protection des données ( DPO), dont le rôle est d’assister le responsable de traitement dans ses tâches.
Quelle responsabilité pour les sous- traitants ?
Le RGPD met à la charge des sous- traitants opérant des données personnelles – tels les prestataires d’hébergement ou les fournisseurs d’application en mode SaaS – des obligations propres nécessitant une modification de leur politique en matière de protection des données. Sont également renforcées les obligations contractuelles des sous- traitants.