Règlement européen sur la protection des données : êtes-vous à jour ?

par
5
Consulter un avocat spécialisé en RGPD

Sommaire

  1. Les implications du règlement européen sur la protection des données
  2. Se préparer au Règlement européen sur la protection des données
Consulter un avocat spécialisé en RGPD

Le Règlement général sur la protection des données (RGPD) constitue une modernisation importante des lois européennes sur la protection des données. Le droit s'efforce de coller aux avancées technologiques et notamment d’Internet en protégeant les données personnelles via principalement le droit d’accès et le droit à l’oubli.

Le RGPD devrait provoquer une profonde transformation des habitudes des entreprises manipulant des données mais son impact doit être anticipé.

 

Les implications du règlement européen sur la protection des données

 

Le droit applicable imposera la notification de toutes violations des données personnelles dans les 72 heures. Des sanctions importantes sont prévues en cas de non-respect des délais.

Droit à l’oubli

A l’instar de la décision de la Cour de justice de l’Union européenne en 2014 à propos de Google Search, le droit à l’oubli est étendu, ce qui implique pour les sites internet et organismes qui gèrent des données de pouvoir répondre à la demande de suppression de données concernant un individu.

Renforcement de l’obligation du consentement

Il n’y aura plus de consentement tacite pour que les données personnelles soient utilisées. Y compris quand le consentement aura été donné, il sera possible de revenir en arrière et s’opposer à tout nouvel usage. Ce seront les responsables de ces traitements qui devront prouver que le consentement a été obtenu. Ceci implique que les entreprises devront conserver la trace du consentement d’utilisation des données personnelles

Responsabilité de gestion des données

Les entreprises qui gèrent des données personnelles devront être capables à tout moment de prouver qu’elles respectent le Règlement général sur la protection des données (RGPD). Dans toutes les entreprises traitant des données personnelles, il conviendra de mettre en œuvre la protection de la vie privée en contrôlant les flux de données, leur conservation et leur modification ou suppression. Dans les grandes entreprises, devra être nommé pour gérer cette problématique un DPO (Délégué à la protection des données). Outre la centralisation du processus de protection des données et l’information transversale de l’entreprise, le rôle du DPO sera de :

  • Surveiller la mise en œuvre et la formation des personnels au RGPD (notamment dans les départements marketing, communication et RH),
  • Décrire la nature des données personnelles collectées, les buts et flux de la collecte,
  • Enregistrer les destinataires des données personnelles, si les données ont été ou n’ont pas été transférées hors de l’UE, et les limites de délais pour leur effacement,
  • Surveiller les violations de données personnelles et gérer les réponses aux requêtes de l’autorité de surveillance.

Un rôle différent si l’on est responsable du traitement ou sous-traitant

Le RGPD a des conséquences différentes si l’on est responsable du traitement des données ou sous-traitant car les entreprises impliquées dans le traitement des données personnelles n’ont pas la même responsabilité en regard de cette nouvelle loi. Il est donc essentiel avant tout traitement des données que les différents acteurs de la chaîne de traitement sachent exactement quel est leur rôle et quelle est leur responsabilité.

Se préparer au Règlement européen sur la protection des données

 

Jusqu’à maintenant, la permission d’utilisation des données personnelles était souvent obtenue, quand elle était demandée, par un système de cases à cocher. Le RGPD sonne la fin de ce type de système et il faut le plus vite possible préparer votre entreprise à la mise en œuvre du règlement européen sur la protection des données pour mai 2018. Il faudra de toute façon qu’une personne soit responsable du traitement des données :

1) Charge à cette personne d’établir une cartographie des données traitées, à savoir quels traitements, de quels données, dans quels buts et par quels flux dans l’entreprise.

2) Seules les données strictement nécessaires à la poursuite de vos objectifs doivent être collectées et traitées.

3) La récupération et le traitement des données doivent avoir une base juridique (contrat, obligation légale, consentement de la personne) et les mentions d’information doivent être conformes aux nouvelles lois.

4) Mise en place les moyens d’accès et de correction/suppression des données par les personnes concernées.

5) Un système de sécurité pour éviter les fuites de données.

6) Parallèlement, les prestataires ou sous-traitants ayant un rapport avec ces données devront être identifiés (hébergeurs, sociétés de sécurité, sous-traitants marketing, etc..).

Les contrats passés avec eux devront être revus avec que leur responsabilité soit clairement énoncée.

E-privacy

A la même date d’entrée en application du RGPD, le règlement complémentaire « e-Privacy » entrera en vigueur.

E-Privacy renforce le devoir d’information et l’obligation de consentement des utilisateurs en rapport avec les dispositions du RGPD. La preuve du recueil du consentement est à la charge du responsable de traitement et pour l’utilisateur, retirer son consentement devra être aussi facile que le donner. Par ailleurs, l’absence de consentement ne pourra empêcher l’accès au service sauf si le traitement de données concerné est nécessaire au fonctionnement de celui-ci. Par ailleurs, la demande de consentement doit être faite dans une forme distincte, compréhensible (termes simples et clairs) et accessible.

Quel coût et quelle application ?

Bien que la mise en œuvre du RGPD approche à grands pas, peu d’entreprises sont prêtes. Dédier une personne au respect du RGPD et mettre en place une politique adaptée, une révision des contrats avec les partenaires ainsi que des dispositifs d’alerte en cas de fuite de données et de preuve de consentement n’est pas à la portée de toutes les entreprises et de leurs finances. Quelques prestataires de services se sont déjà installés sur le marché de la mise en place d’une politique « RGPD » y compris pour former les futurs DPO et la seule chose certaine est que cela coûte cher. 

Philippe

Écrit par

Philippe

Diplômé d'HEC et bras droit d'un célèbre entrepreneur, Philippe a aidé plusieurs startups dans leur développement. Il accorde une grande importance à conseiller les entrepreneurs dans leurs problématiques juridiques pour les aider à faire les meilleurs choix.

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Quelles sont les sanctions en cas de non-respect du RGPD ?

La protection des données est l’une des questions les plus importantes de notre époque ultra ...

Amélie Gautier

Amélie Gautier

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime

Maxime

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier