BLOG AIDE
S'inscrire ou Se connecter

Infographie : êtes-vous prêt pour le RGPD 2018 ?

Actualités juridiques
Captain Contrat
LE
4min

Ce n’est désormais plus une surprise, le RGPD, règlement général sur la protection des données (GDPR en anglais) entrera en vigueur le 25 mai 2018.  Pour la plupart des entreprises, le sujet est complexe et vous êtes plusieurs parmi nos clients à nous poser des questions sur le sujet. Pour vous aider à y voir plus clair, Captain Contrat vous a préparé cette infographie :

Infographie comment se mettre en conformité avec le RGPD ?

RGPD : Decryptage de nos experts

En l’état actuel, le respect de la protection des données est régi par une directive européenne de 1995.

Mais le reflet de nouvelles pratiques a fait naitre de nouveaux besoins en termes de protection des données. En effet, les entreprises traitent de plus en plus d'informations, elles mêmes de plus en plus personnelles et signifiantes.

C'est en outre, la raison pour laquelle un nouveau règlement européen sur la protection des données a été adopté. Ce règlement, d’application directe (sans transposition) vient étendre le champ d’application de la directive actuelle. Aujourd’hui, cette dernière ne s’applique qu’aux établissements ou au moyen de traitement présent sur le territoire d’un état membre de l’UE. Demain, toute organisation mondiale traitant, sous traitant ou stockant les données personnelles de citoyens européens sera soumise à ces nouvelles obligations.

 

Le RGPD pour les PME, les TPE et les startups : on vous explique, en vidéo

Les objectifs du règlement

L’ensemble des évolutions techniques et sociologiques telles que le développement des réseaux sociaux, ou encore du Cloud, sont postérieures à la Directive actuelle. Il convenait donc de prendre de nouvelles dispositions afin de renforcer les droits des personnes dont les données sont traitées.

Le second objectif de la réforme vise à responsabiliser les acteurs traitant les données à caractère personnel. A cela, viendra s’ajouter naturellement un troisième objectif, celui de renforcer la confiance des consommateurs et participer ainsi au développement des entreprises.

De même, la Directive actuelle transposée dans les 28 états membres de l’Union Européenne, impliquent de fait 28 interprétations différentes quant à l’application du respect de la protection des données. L’un des objectifs de la réforme est donc d’harmoniser ces règles au sein de l’UE.

Cette harmonisation viendra également renforcer la coopération entre les autorités des protections des données.

Les acteurs du règlement

Demeurent présents les mêmes acteurs que sous la Directive, à savoir le responsable de traitement et le sous-traitant.

Le responsable de traitement détermine les finalités et les moyens du traitement des données.

Le sous-traitant traite quant à lui des données au nom et pour le compte du responsable de traitement.

L’obligation de conclure un contrat demeure, mais celui-ci devra mentionner plusieurs informations telles que la finalité du traitement confié, la durée de ce traitement, le type de données personnelles concernées etc.

Apparait également avec le nouveau règlement, la notion de co-responsable de traitement, lorsque deux entreprises décident conjointement de la finalité du traitement.

Mais le changement le plus notable concerne la responsabilité du sous-traitant. En effet, la responsabilité ne pèse désormais plus uniquement sur le responsable de traitement.

Les nouvelles obligations prévues par le règlement

Le principe d’Accountability et la tenue du registre de traitement des données

Le règlement marque la fin des formalités préalables à fournir auprès de la CNIL. Cet allègement est en revanche contrebalancé par le nouveau principe d’Accountability.

Cette notion signifie que les organisations doivent respecter les principes prévus par le règlement mais aussi être en mesure de documenter et prouver ce respect. En résulte notamment l’obligation de tenir un registre des activités de traitement.

Chaque entreprise devra ainsi mettre en place un processus interne afin de répertorier les traitements et décrire les mesures de sécurité qui s’y appliquent.

L’analyse / l'étude d’impact

Le règlement ajoute l’obligation pour les entreprises de réaliser des audits de traitements quotidiens et de sensibiliser les employés à ces nouvelles obligations. Le responsable de traitement se doit d’apprécier les risques que peuvent présenter de nouveaux traitements et mettre en place les mesures adaptées afin de sécuriser ces traitements.

La désignation d'un Data Protection Officer (DPO)

Le règlement liste les responsables de traitement ayant l'obligation de  désigner ce DPO. Sont notamment concernées les Autorités publiques, ou encore les entreprises dont l’activité principale implique un traitement de données à grande échelle.

Ce DPO a notamment un devoir d’information et de conseil auprès de l’entreprise et ses employés. Il contrôle également le respect du règlement et constitue le lien entre l’entreprise et l’autorité.

L’obligation de sécurité et la notification des failles de sécurité

L’obligation de sécurité s’applique au responsable de traitement et au sous-traitant. Sa mise en œuvre est encadrée par le règlement.

S’ajoute l’obligation pour le responsable de traitement de prévenir les failles de sécurité auprès des autorités de contrôle et personnes concernées. Le sous-traitant a l’obligation de notifier ces failles au responsable de traitement.

Les droits des personnes dont les données sont traitées

Le droit à la transparence est renforcé, impliquant la communication de plus d’informations par le responsable de traitement. Ces informations doivent ainsi figurer de manière apparente sur les sites internet. Le recueil de consentement est également renforcé. Celui-ci doit être exprimé dans une déclaration expressément rédigée ou via une case cochée. De même, le consentement doit pouvoir être retiré à tout moment.

Apparaît également un droit à la portabilité des données, c’est à dire la possibilité pour le consommateur/client de récupérer les données fournies sous une forme aisément réutilisable.

Enfin, s’ajoute le droit à l’oubli numérique impliquant la possibilité de supprimer les données si aucun motif ne justifie leur conservation ou si le consentement a été retiré .

Nouveau call-to-action

Des sanctions aggravées

Le règlement s’accompagne d’une harmonisation des sanctions mais aussi et surtout d’une aggravation significative de celles-ci.

Outre le maintien des sanctions pénales et les sanctions liées au risque d’image commercial de l’entreprise s’ajoute les sanctions à caractère pécuniaire.

Les entreprises récalcitrantes risqueront jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel en cas de manquements relatifs au règlement et jusqu’à 20 millions d’euros et 4% du chiffre d’affaires annuel en cas de manquement aux droits des personnes (droit d’accès, droit à l’oubli etc.)

Mieux vaut donc se préparer face à ce chantier phare de 2018

Encore des questions sur le RGPD ? Consultez un avocat spécialisé Je consulte  un avocat en ligne

Donnez votre avis
    ARTICLES SIMILAIRES
    facebook_rgpd

    protection des données personnelles

    RGPD : l'administrateur d'une "Page Fan" Facebook est-il responsable de traitement ?

    RGPD_cnil

    protection des données personnelles

    RGPD : le nombre de plaintes à la Cnil a-t-il explosé ?

    formation_dpo_rgpd

    protection des données personnelles

    Formation de DPO : vraiment utile pour être conforme au RGPD ?

    RGPD_CNIL_Darty

    protection des données personnelles

    RGPD : la CNIL sanctionne Darty sur la protection des données

    Amélie Gautier
    A propos de Amélie Gautier

    Diplômée d'un Master en droit des affaires et passionnée par le monde de l'entreprise, Amélie s'efforce de rendre accessible les informations juridiques nécessaires aux entrepreneurs tout au long de leurs projets.

    Voir tous les auteurs du blog Actualités Juridiques
    COMMENTAIRES