Points essentiels sur le RGPD

En vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données a pour but de recouvrir et remplacer les 28 législations déjà existantes concernant la circulation des données personnelles des citoyens européens.  Les données personnelles regroupent toutes informations permettant d'identifier des individus. 

Quels engagements pour l'entreprise ?

Dorénavant, toute entreprise utilisant des données personnelles devra être capable d'expliquer pourquoi celles-ci sont collectées et à quelles fins. Comment elles sont récoltées, où elles sont stockées, chaque individu aura le droit de savoir. 

Les structures de plus de 250 salariés (et celles de moins de 250 salariés mais dont le traitement de données peut avoir des répercussions sur la vie privée) doivent mener une étude d'impact sur la vie privée (EIVP) et tenir à jour en permanence un registre de traitement qui pourra être demandé par la Cnil en cas de contrôle.

Et pour l'utilisateur ?

Un consentement explicite et écrit devra être donné avant toute opération par le citoyen concernant l'utilisation de ses données. L'accès au site internet ou à la plateforme devra être simple et rapide, en cas de désabonnement ou de demande d'information. Actuellement, certaines entreprises imposent à leurs utilisateurs l'exploitation de leurs données personnelles sous peine de refus d'accès à leur site et informations, et les termes et conditions sont souvent implicites et mal expliqués.

Avec cette nouvelle loi, la portabilité des données se verra facilitée, et chaque utilisateur pourra demander à une entreprise de lui fournir l'intégralité de ses données personnelles, dans le cas où il souhaite les transférer à une autre entreprise, un autre prestataire. 

Les nouveaux droits des individus : 

  • Droit à l'oubli (permet la suppression à la demande des données personnelles d'un citoyen)
  • Droit de rectification (modifier ses données dans un délai optimisé)
  • Droit à la limitation du traitement 
  • Droit d'opposition (s'opposer à l'utilisation de ses données dans certains cas. Ex : prospection)

Quelles sanctions en cas de non conformité ?

En cas de manquement à un haut niveau de protection des données : Amende de 10 millions d'euros, 2% du chiffres d'affaires annuel mondial dans le cas d'une entreprise.

En cas de manquement à un des droits des personnes cités plus haut : 20 millions d'euros d'amende ou 4% du chiffres d'affaires annuel mondial.

Engager un DPO (Data Protection Officer) ? 

Pour les grandes entreprises, il est possible d'engager un spécialiste afin que celui-ci vérifie le respect de la législation concernant ce traitement des donneés. Cela peut aider à s'assurer des bons fonctionnements relatifs à ces règles et faciliter le travail, mais ce n'est pas une obligation. 

Pour les structures publiques, et les entreprises traitant des données sensibles (qui concernent la santé, la politique, la religion...) la désignation d'un DPO est inévitable et obligatoire.