Changements RGPD clés
Regard sur les principaux changements RGDP et en quoi ils diffèrent de la directive précédente
L'objectif du Règlement général sur la protection des données (RGPD) est de protéger tous les citoyens de l'UE contre la violation de la vie privée et des données à caractère personnel dans un monde de plus en plus numérisé et qui diffère considérablement de l'époque de l'ancienne directive mise en vigueur en 1995. Bien que les grands principes en matière de confidentialité des données soient toujours conformes à l'ancienne directive, de nombreux changements ont été proposés pour les politiques réglementaires dont on trouvera les points clés ci-après ainsi que les impacts du nouveau RGPD sur les entreprises.
Portée territoriale accrue (applicabilité extraterritoriale)
Incontestablement, le plus grand changement dans le paysage réglementaire en matière de confidentialité des données concerne l'élargissement de la plate-forme juridique du RGPD puisque le règlement s'applique à toutes les entreprises traitant les données personnelles des personnes résidant dans l'Union, indépendamment de la situation géographique de l'entreprise. Auparavant, l'applicabilité territoriale de la directive était ambigüe et renvoyait au traitement des données « dans le contexte d'un établissement ». Ce sujet a été soulevé dans plusieurs procès très médiatisés. Le nouveau RGPD précise très clairement son champ d'application - il s'appliquera désormais au traitement des données personnelles par les contrôleurs et les processeurs dans l'UE, indépendamment du fait que le traitement ait lieu dans l'UE ou non. Le RGPD s'appliquera également au traitement des données personnelles des ressortissants de l'UE par un contrôleur ou processeur non établi dans l'UE si les activités concernent : l'offre de biens ou de services aux citoyens européens (avec ou sans obligation de paiement) et le suivi des comportements au sein de l'UE. Les entreprises hors-UE qui traitent les données des citoyens de l'UE devront également désigner un représentant dans l'UE.
Sanctions
Dans le cadre du RGPD, les organismes qui ne respecte pas le RGPD pourront être condamnées à une amende jusqu'à 4% du chiffre d'affaires mondial annuel ou 20 millions d'euros (selon le montant le plus élevé). Cette amende constitue le maximum imposable pour les infractions les plus graves, par exemple, l'absence de consentement du client pour le traitement de ses données ou la violation des concepts fondamentaux du respect de la confidentialité. Les sanctions sont progressives, c'est-à-dire qu'une entreprise pourra être condamnée à une amende de 2% pour ne pas avoir tenu ses archives en ordre (article 28), ne pas avoir avisé les autorités chargées de la surveillance ou la personne concernée en cas de violation des données, ou ne pas avoir mené une évaluation de l'impact. Il importe de noter que ces règles s'appliquent à la fois aux contrôleurs et aux processeurs, ce qui signifie que les « clouds » ne sont pas exemptés de l'application du RGPD.
Consentement
Les conditions de consentement ont été renforcées et les entreprises ne pourront plus utiliser des termes illisibles et longs, pleins de jargon juridique, car la demande de consentement doit être faite sous une forme intelligible et facilement accessible afin de traiter les données jointes à ce consentement. Le consentement doit être clair et distinct des autres questions et fourni sous une forme intelligible et facilement accessible en utilisant un langage clair et simple. On doit pouvoir retirer son consentement aussi facilement qu'on le donne.
Droits des sujets des données
Notification de violation
Dans le cadre du RGPD, la notification des violations est désormais obligatoire dans tous les pays-membres si la dite violation est susceptible de mener à la « violation des droits et libertés des citoyens ». La notification doit avoir lieu dans les 72 heures après avoir constaté la violation. Les processeurs de données doivent également notifier leurs clients, les contrôleurs, « sans retard injustifié » après avoir constaté la violation des données.
Droits d'accès
Dans le cadre du nouveau RGPD, les personnes concernées par les données ont désormais le droit d'obtenir du contrôleur des données la confirmation du traitement ou non de leurs données personnelles, où, par qui et pour quelles raisons. Qui plus est, le contrôleur doit désormais fournir gratuitement une copie des données à caractère personnel sous format électronique. Ce changement constitue un changement radical vers la transparence des données et l'émancipation des personnes concernées par les données.
Droit à l'oubli
Également surnommé « suppression des données », le droit à l'oubli accorde aux sujets des données le droit d'effacement de leurs données personnelles, la non-dissémination des dites données et le non-traitement par les tiers. Les conditions d'effacement énoncées à l'article 17, incluent les données qui ne sont plus pertinentes aux fins initiales du traitement, et le retrait du consentement des personnes concernées. Il convient de noter que pour toute demande de droit à l'oubli, les contrôleurs sont toutefois tenus de comparer les droits des sujets à « la pertinence des données dans l'intérêt public ».
Portabilité des données
Le RGPD introduit la portabilité des données - en accordant aux sujets des données le droit de recevoir les données personnelles qui les concernent et que le sujet a précédemment fournies dans un « format couramment utilisé et lisible par une machine » et le droit de transmettre ces données à un autre contrôleur.
La confidentialité fondamentale
Le concept de la confidentialité fondamentale existe depuis de nombreuses années mais intègre seulement maintenant le RGPD. Au cœur du concept, la protection de la vie privée exige l'inclusion de la protection des données dès le début de la conception des systèmes, plutôt que sous forme d'un ajout. Plus précisément : « Le contrôleur doit ... mettre en œuvre les mesures techniques et organisationnelles appropriées ...de manière efficace ...afin de satisfaire aux exigences du présent Règlement et de protéger les droits des sujets des données ». L'article 23 prévoit que les contrôleurs ne conservent et ne traitent que les données absolument nécessaires à l'accomplissement de leurs tâches (minimisation des données), ainsi que la limitation de l'accès aux données personnelles à ceux qui ont besoin d'en réaliser le traitement.
Délégués à la Protection des données (DPD)
Jusqu'à présent, les contrôleurs étaient tenus de notifier leurs activités de traitement des données auprès des délégués à la protection des données locaux, ce qui, pour les multinationales, constitue un cauchemar bureaucratique si l'on tient compte de la disparité des critères de notification mis en place par les différents États membres. Dans le cadre du RGPD, il ne sera pas nécessaire de soumettre les notifications / enregistrements à chaque Délégué local concernant les activités de traitement des données, ni de notifier / obtenir l'approbation pour les transferts basés sur les clauses contractuelles type. Ce processus est désormais remplacé par la tenue de dossiers internes comme expliqué ci-après, et par la nomination obligatoire des délégués à la protection des données pour les contrôleurs et processeurs dont le métier de base consiste à traiter des opérations qui exigent le suivi régulier et systématique des sujets de données à grand échelle, ou de catégories spéciales de données liées aux délits criminels. Fait important, les DPD :
- Doivent être nommés sur la base de leurs qualités professionnelles et notamment de leur expertise en matière de loi et de pratiques de protection des données.
- Font partie du personnel ou sont extérieurs à l'entreprise
- Leurs coordonnées doivent être fournies à l'autorité de protection des données concernée
- Doivent avoir les ressources appropriées pour mener à bien leurs tâches et maintenir des connaissances spécialisées
- Doivent rendre compte directement aux plus hauts échelons de la direction
- Ne doivent effectuer aucune autre tâche qui pourrait entraîner un conflit d'intérêts.