CRÉER MON ENTREPRISE
PROTÉGER MA MARQUE
BIEN S’ENTOURER
LIRE LES TOP ARTICLES
MODIFIER MON ENTREPRISE
GÉRER MON ENTREPRISE
SURMONTER LES LITIGES
FERMER MON ENTREPRISE
GÉRER MES SALARIÉS
CONTRAT COMMERCIAL
CONTRAT DE TRAVAIL
TENIR MA COMPTABILITÉ
DÉLÉGUER MON JURIDIQUE
VIE DE L'ENTREPRISE
FORMES JURIDIQUES
SIMULATEURS
GUIDES PDF
CRÉER MON ENTREPRISE
PROTÉGER MA MARQUE
BIEN S’ENTOURER
LIRE LES TOP ARTICLES
MODIFIER MON ENTREPRISE
GÉRER MON ENTREPRISE
SURMONTER LES LITIGES
FERMER MON ENTREPRISE
GÉRER MES SALARIÉS
CONTRAT COMMERCIAL
CONTRAT DE TRAVAIL
TENIR MA COMPTABILITÉ
DÉLÉGUER MON JURIDIQUE
VIE DE L'ENTREPRISE
FORMES JURIDIQUES
SIMULATEURS
GUIDES PDF
/Sofia-1.png?width=64&height=64&name=Sofia-1.png)
Ce n’est désormais plus une surprise, le RGPD, règlement général sur la protection des données (GDPR en anglais) entrera en vigueur le 25 mai 2018. Pour la plupart des entreprises, le sujet est complexe et vous êtes plusieurs parmi nos clients à nous poser des questions sur le sujet. Pour vous aider à y voir plus clair, Captain Contrat vous a préparé cette infographie :
SOMMAIRE :
RGPD : Decryptage de nos experts
En l’état actuel, le respect de la protection des données est régi par une directive européenne de 1995.
Mais le reflet de nouvelles pratiques a fait naitre de nouveaux besoins en termes de protection des données. En effet, les entreprises traitent de plus en plus d'informations, elles mêmes de plus en plus personnelles et signifiantes.
C'est en outre, la raison pour laquelle un nouveau règlement européen sur la protection des données a été adopté. Ce règlement, d’application directe (sans transposition) vient étendre le champ d’application de la directive actuelle. Aujourd’hui, cette dernière ne s’applique qu’aux établissements ou au moyen de traitement présent sur le territoire d’un état membre de l’UE. Demain, toute organisation mondiale traitant, sous traitant ou stockant les données personnelles de citoyens européens sera soumise à ces nouvelles obligations.
Le RGPD pour les PME, les TPE et les startups : on vous explique, en vidéo
Les objectifs du règlement
L’ensemble des évolutions techniques et sociologiques telles que le développement des réseaux sociaux, ou encore du Cloud, sont postérieures à la Directive actuelle. Il convenait donc de prendre de nouvelles dispositions afin de renforcer les droits des personnes dont les données sont traitées.
Le second objectif de la réforme vise à responsabiliser les acteurs traitant les données à caractère personnel. A cela, viendra s’ajouter naturellement un troisième objectif, celui de renforcer la confiance des consommateurs et participer ainsi au développement des entreprises.
De même, la Directive actuelle transposée dans les 28 états membres de l’Union Européenne, impliquent de fait 28 interprétations différentes quant à l’application du respect de la protection des données. L’un des objectifs de la réforme est donc d’harmoniser ces règles au sein de l’UE.
Cette harmonisation viendra également renforcer la coopération entre les autorités des protections des données.
Les acteurs du règlement
Demeurent présents les mêmes acteurs que sous la Directive, à savoir le responsable de traitement et le sous-traitant.
Le responsable de traitement détermine les finalités et les moyens du traitement des données.
Le sous-traitant traite quant à lui des données au nom et pour le compte du responsable de traitement.
L’obligation de conclure un contrat demeure, mais celui-ci devra mentionner plusieurs informations telles que la finalité du traitement confié, la durée de ce traitement, le type de données personnelles concernées etc.
Apparait également avec le nouveau règlement, la notion de co-responsable de traitement, lorsque deux entreprises décident conjointement de la finalité du traitement.
Mais le changement le plus notable concerne la responsabilité du sous-traitant. En effet, la responsabilité ne pèse désormais plus uniquement sur le responsable de traitement.
Les nouvelles obligations prévues par le règlement
Le principe d’Accountability et la tenue du registre de traitement des données
Le règlement marque la fin des formalités préalables à fournir auprès de la CNIL. Cet allègement est en revanche contrebalancé par le nouveau principe d’Accountability.
Cette notion signifie que les organisations doivent respecter les principes prévus par le règlement mais aussi être en mesure de documenter et prouver ce respect. En résulte notamment l’obligation de tenir un registre des activités de traitement.
Chaque entreprise devra ainsi mettre en place un processus interne afin de répertorier les traitements et décrire les mesures de sécurité qui s’y appliquent.
L’analyse / l'étude d’impact
Le règlement ajoute l’obligation pour les entreprises de réaliser des audits de traitements quotidiens et de sensibiliser les employés à ces nouvelles obligations. Le responsable de traitement se doit d’apprécier les risques que peuvent présenter de nouveaux traitements et mettre en place les mesures adaptées afin de sécuriser ces traitements.
La désignation d'un Data Protection Officer (DPO)
Le règlement liste les responsables de traitement ayant l'obligation de désigner ce DPO. Sont notamment concernées les Autorités publiques, ou encore les entreprises dont l’activité principale implique un traitement de données à grande échelle.
Ce DPO a notamment un devoir d’information et de conseil auprès de l’entreprise et ses employés. Il contrôle également le respect du règlement et constitue le lien entre l’entreprise et l’autorité.
L’obligation de sécurité et la notification des failles de sécurité
L’obligation de sécurité s’applique au responsable de traitement et au sous-traitant. Sa mise en œuvre est encadrée par le règlement.
S’ajoute l’obligation pour le responsable de traitement de prévenir les failles de sécurité auprès des autorités de contrôle et personnes concernées. Le sous-traitant a l’obligation de notifier ces failles au responsable de traitement.
Les droits des personnes dont les données sont traitées
Le droit à la transparence est renforcé, impliquant la communication de plus d’informations par le responsable de traitement. Ces informations doivent ainsi figurer de manière apparente sur les sites internet. Le recueil de consentement est également renforcé. Celui-ci doit être exprimé dans une déclaration expressément rédigée ou via une case cochée. De même, le consentement doit pouvoir être retiré à tout moment.
Apparaît également un droit à la portabilité des données, c’est à dire la possibilité pour le consommateur/client de récupérer les données fournies sous une forme aisément réutilisable.
Enfin, s’ajoute le droit à l’oubli numérique impliquant la possibilité de supprimer les données si aucun motif ne justifie leur conservation ou si le consentement a été retiré .
Des sanctions aggravées
Le règlement s’accompagne d’une harmonisation des sanctions mais aussi et surtout d’une aggravation significative de celles-ci.
Outre le maintien des sanctions pénales et les sanctions liées au risque d’image commercial de l’entreprise s’ajoute les sanctions à caractère pécuniaire.
Les entreprises récalcitrantes risqueront jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel en cas de manquements relatifs au règlement et jusqu’à 20 millions d’euros et 4% du chiffre d’affaires annuel en cas de manquement aux droits des personnes (droit d’accès, droit à l’oubli etc.)
Mieux vaut donc se préparer face à ce chantier phare de 2018.
Une question ? Laissez votre commentaire