Tout le monde ou presque évoque le GDPR, la nouvelle réglementation qui va révolutionner la gestion et la protection des données au niveau européen. Mais qu’en est-il vraiment ?
Les institutions européennes ont définitivement adopté le règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Publié le 4 mai 2016 au Journal officiel de l’Union européenne, il est entré en vigueur le 25 mai 2016, il ne sera toutefois applicable qu’à partir du 25 mai 2018.
Au travers de cet article, Sofiane Fedaoui, RSSI/CISO de Vialink, propose une analyse du GDPR et de pourquoi ce nouveau règlement va renforcer la protection des citoyens européens sur l’utilisation de leurs données personnelles, tout en simplifiant et en unifiant, la réglementation pour les acteurs concernés.
C’est quoi le RGPD ?
L’acronyme anglais GDPR, correspondant à General Data Protection Regulation pour Règlement Général sur la Protection des Données, est une nouvelle réglementation européenne qui remplace la directive 95/46/EC datant de 1995 sur la protection des données personnelles dont chaque pays membre de l’UE avait transposé dans son droit national. Effectif début 2015, il s’appliquera à toutes les entreprises collectant, gérant, ou stockant des données. Le GDPR concerne toute personne et toute organisation (entreprise, association, administration, collectivité locale, …) basées dans l’UE mais aussi les non-membres de l’UE qui gèrent les données de résidents européens.
Par exemple : un éditeur de logiciel chinois traitant les données d’une société italienne devra respecter le GPDR.
La finalité étant la simplification et l’harmonisation des données dans les 27 pays de l’Union Européenne. Le Règlement ne prévoit pas de régime transitoire, pourtant le considérant 171 précise quelques principes de transition tels qu’un état des lieux des données à caractère personnel détenues ainsi que tous les traitements semblant nécessaires.
Dans le cas d’un non-respect de la réglementation, les entreprises encourent des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial.
Ce qu’il faut retenir ?
- Un cadre juridique unifié :
Contrairement à la directive 95/46/EC, il s’applique directement dans tous les pays de l’Union européenne, il n y a pas de transposition nationale.
- Obligation de consentement :
L’obtention du consentement de la personne dont les données sont traitées deviendra obligatoire.
Le consentement clair et explicite à la collecte des données. Définition : Article 4.11
Explicite : Considérant N°32 : « Il ne saurait dès lors y avoir de consentement en cas de silence, de case cochée par défaut ou d’inactivité. ».
Traitement licite dans certains cas : Article 6.a à 6.f
La charge de la preuve du consentement : Article 7.1
La personne dont les données sont collectées peut retirer son consentement à tout moment : Article 7.3.
- Droit à la rectification et à l’oubli :
Les personnes concernées ont le droit à la rectification et à l’oubli numérique : Article 17.
- Registre des traitements :
Registre détaillé des traitements doit désormais être obligatoirement conservé non seulement par le responsable du traitement mais également par ses éventuels sous-traitants. Ce registre doit pouvoir être mis à tout moment à disposition des autorités de contrôle : Article 30.
- Notification de violation de données :
L’autorité de supervision (CNIL en France) et les personnes concernées doivent être notifiées en cas de violation des données à caractère personnel : Articles 33 et 34.
- Analyses d’impact :
Le responsable du traitement doit effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires : Article 35
- Désignation de DPO (Data Protection Officer) :
Le DPO veillera au respect de la loi en matière de données à caractère personnel, sa désignation pour les acteurs du public et certains acteurs privés est obligatoire.
Les entreprises ayant déjà un CIL devront logiquement le nommer DPO, une formation sur le GDPR est fortement recommandée : Article 37.
- Droit à la portabilité :
Les personnes concernées pourront demander à ce que les données qu’ils auront communiquées soient transmises par le responsable de traitement à tout autre responsable de traitement : Articles 20, 45 et 49.
Le GDPR a pour ambition de simplifier, d’harmoniser et de renforcer la protection des données personnelles grâce à un cadre juridique unifié, une obligation de consentement dans l’obtention des données et la désignation d’un DPO (Data Protection Officer). Les responsables du traitement de données devront donc investir dans un dispositif de protection des données personnelles pour se mettre en conformité rapidement ; ces investissements dépendront naturellement des dispositions déjà mises en place.
Liens :
Lien du texte réglementaire :
http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1487581352659&uri=CELEX:32016R0679
Site de la CNIL :
Lien créé par le cabinet d’avocats Ulys, spécialisée dans le droit de l’innovation :
