1. Gestion
  2. Politique de confidentialité - RGPD
  3. Règlement européen sur la protection des données : êtes-vous à jour ?

Règlement européen sur la protection des données : êtes-vous à jour ?

Consulter un avocat spécialisé en RGPD
Consulter un avocat spécialisé en RGPD
Philippe Wagner
Écrit par Philippe Wagner

Cofondateur de Captain Contrat, Philippe a fait ses armes au sein du cabinet de Gilles Babinet, figure de proue de l'entrepreneuriat français. Il est diplômé d'HEC Paris.


Le Règlement général sur la protection des données (RGPD) constitue une modernisation importante des lois européennes sur la protection des données. Le droit s'efforce de coller aux avancées technologiques et notamment d’Internet en protégeant les données personnelles via principalement le droit d’accès et le droit à l’oubli.

Le RGPD devrait provoquer une profonde transformation des habitudes des entreprises manipulant des données mais son impact doit être anticipé.

 

 

Les implications du règlement européen sur la protection des données

 

Le droit applicable imposera la notification de toutes violations des données personnelles dans les 72 heures. Des sanctions importantes sont prévues en cas de non-respect des délais.

Droit à l’oubli

A l’instar de la décision de la Cour de justice de l’Union européenne en 2014 à propos de Google Search, le droit à l’oubli est étendu, ce qui implique pour les sites internet et organismes qui gèrent des données de pouvoir répondre à la demande de suppression de données concernant un individu.

Renforcement de l’obligation du consentement

Il n’y aura plus de consentement tacite pour que les données personnelles soient utilisées. Y compris quand le consentement aura été donné, il sera possible de revenir en arrière et s’opposer à tout nouvel usage. Ce seront les responsables de ces traitements qui devront prouver que le consentement a été obtenu. Ceci implique que les entreprises devront conserver la trace du consentement d’utilisation des données personnelles

Responsabilité de gestion des données

Les entreprises qui gèrent des données personnelles devront être capables à tout moment de prouver qu’elles respectent le Règlement général sur la protection des données (RGPD). Dans toutes les entreprises traitant des données personnelles, il conviendra de mettre en œuvre la protection de la vie privée en contrôlant les flux de données, leur conservation et leur modification ou suppression. Dans les grandes entreprises, devra être nommé pour gérer cette problématique un DPO (Délégué à la protection des données). Outre la centralisation du processus de protection des données et l’information transversale de l’entreprise, le rôle du DPO sera de :

  • Surveiller la mise en œuvre et la formation des personnels au RGPD (notamment dans les départements marketing, communication et RH),
  • Décrire la nature des données personnelles collectées, les buts et flux de la collecte,
  • Enregistrer les destinataires des données personnelles, si les données ont été ou n’ont pas été transférées hors de l’UE, et les limites de délais pour leur effacement,
  • Surveiller les violations de données personnelles et gérer les réponses aux requêtes de l’autorité de surveillance.

Un rôle différent si l’on est responsable du traitement ou sous-traitant

Le RGPD a des conséquences différentes si l’on est responsable du traitement des données ou sous-traitant car les entreprises impliquées dans le traitement des données personnelles n’ont pas la même responsabilité en regard de cette nouvelle loi. Il est donc essentiel avant tout traitement des données que les différents acteurs de la chaîne de traitement sachent exactement quel est leur rôle et quelle est leur responsabilité.

Se préparer au Règlement européen sur la protection des données

 

Jusqu’à maintenant, la permission d’utilisation des données personnelles était souvent obtenue, quand elle était demandée, par un système de cases à cocher. Le RGPD sonne la fin de ce type de système et il faut le plus vite possible préparer votre entreprise à la mise en œuvre du règlement européen sur la protection des données pour mai 2018. Il faudra de toute façon qu’une personne soit responsable du traitement des données :

1) Charge à cette personne d’établir une cartographie des données traitées, à savoir quels traitements, de quels données, dans quels buts et par quels flux dans l’entreprise.

2) Seules les données strictement nécessaires à la poursuite de vos objectifs doivent être collectées et traitées.

3) La récupération et le traitement des données doivent avoir une base juridique (contrat, obligation légale, consentement de la personne) et les mentions d’information doivent être conformes aux nouvelles lois.

4) Mise en place les moyens d’accès et de correction/suppression des données par les personnes concernées.

5) Un système de sécurité pour éviter les fuites de données.

6) Parallèlement, les prestataires ou sous-traitants ayant un rapport avec ces données devront être identifiés (hébergeurs, sociétés de sécurité, sous-traitants marketing, etc..).

Les contrats passés avec eux devront être revus avec que leur responsabilité soit clairement énoncée.

E-privacy

A la même date d’entrée en application du RGPD, le règlement complémentaire « e-Privacy » entrera en vigueur.

E-Privacy renforce le devoir d’information et l’obligation de consentement des utilisateurs en rapport avec les dispositions du RGPD. La preuve du recueil du consentement est à la charge du responsable de traitement et pour l’utilisateur, retirer son consentement devra être aussi facile que le donner. Par ailleurs, l’absence de consentement ne pourra empêcher l’accès au service sauf si le traitement de données concerné est nécessaire au fonctionnement de celui-ci. Par ailleurs, la demande de consentement doit être faite dans une forme distincte, compréhensible (termes simples et clairs) et accessible.

Quel coût et quelle application ?

Bien que la mise en œuvre du RGPD approche à grands pas, peu d’entreprises sont prêtes. Dédier une personne au respect du RGPD et mettre en place une politique adaptée, une révision des contrats avec les partenaires ainsi que des dispositifs d’alerte en cas de fuite de données et de preuve de consentement n’est pas à la portée de toutes les entreprises et de leurs finances. Quelques prestataires de services se sont déjà installés sur le marché de la mise en place d’une politique « RGPD » y compris pour former les futurs DPO et la seule chose certaine est que cela coûte cher. 

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
RGPD : quelle est la procédure de sanction ?

Mais que se passe-t-il en cas de non-respect du RGPD ? Quelles sont les sanctions susceptibles d’être prononcées à l’égard des responsables de traitement qui ne respecteraient pas ses dispositions ?

5 min
L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Quel est l'impact du RGPD sur l'éditeur Saas ? Quel est le statut de l'éditeur Saas face au RGPD : responsable de traitement ou sous-traitant ? Me Znaty répond à toutes ces questions.

5 min
Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

La mise en conformité au RGPD implique de nombreuses mesures, notamment sur la rédaction des CGV. Mais les CGV e-commerce ne sont pas les seules visées : mentions légales, cookies, politique de confidentialité sont également indispensables pour votre site. Me Lefroy vous guide

5 min
La clause de confidentialité dans le contrat de travail

La clause de confidentialité permet de garantir qu'un salarié ne divulguera pas d'informations qui peuvent être vitales pour l’organisation d'une entreprise

5 min
Accord de confidentialité : pourquoi et comment le rédiger ?

L'’accord de confidentialité est un des outils phares de la protection d’information et du secret professionnel. Dans quel cas doit-on le signer ?

4 min
Les limites de la protection des données personnelles du salarié

Quelles sont les limites à la protection des données personnelles du salarié ? Sous quelle conditions l'employeur peut-il collecter ces informations ?

5 min
Qu’est-ce qu’une charte/politique de confidentialité ?

Une politique de confidentialité est un document ou un contrat qui expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs. Obligatoire dans le cadre de la conformité RGPD, Me Julien Smadja décrypte pour vous le contenu et l'importance de ce document.

2 min
Qu’est-ce que la charte des données personnelles d’un site internet ?

Lorsqu’un site internet requiert des informations personnelles de ses utilisateurs, la rédaction d'une charte des données personnelles est vivement conseillée.

3 min
RGPD : qui est concerné ?

Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier