Le Règlement Général sur la Protection des Données, ou RGPD, est aujourd’hui sous le feu des projecteurs. Ce règlement concernant la protection des données des individus deviendra applicable le 25 Mai 2018, et va impliquer de nombreux changements dans les procédures des professionnels disposant de données concernant des individus. Qu’est ce que le RGPD et en quoi cela consiste ? Isociel, société informatique sur Toulouse et Paris, vous explique les changements liés à la mise en place du RGPD.
Quel est l’objectif du RGPD et que représente-t-il exactement ?
Le RGPD est un règlement applicable dans tous les pays de l’Union Européenne, et qui concernera les entreprises qui y sont basées ou proposant des services à ses résidents. L’objectif de cette réforme est avant tout de permettre aux entreprises de s’adapter aux nouvelles réalités du numérique ; mais aussi de mieux protéger les individus et leurs données personnelles.
Elle suit 3 grandes lignes principales :
- Le renfort des droits des personnes, et notamment des personnes mineures
- La responsabilisation des acteurs utilisant des données
- La crédibilisation de la régulation, par la coopération entre les organismes de protection des données, et le renforcement des sanctions
Ce règlement concerne avant tout les entreprises traitant des données personnelles : il peut s’agir de données de clients, de prospects… Ce règlement donne plus de pouvoir aux organismes de régulation : désormais, en cas de service transnational, les autorités de chaque pays pourront coopérer pour proposer des mesures et sanctions envers un acteur ne respectant pas le RGPD.
Quelles sont les règles imposées par ce RGPD ?
Deux acteurs sont principalement concernés par les dispositions de ce nouveau règlement. D’un côté, on peut retrouver les opérateurs de traitement sur des données (ex : un gestionnaire de parc informatique) et de l’autre les individus à qui appartiennent ces données personnelles (ex : un utilisateur de ce même parc informatique identifié par son adresse IP).
Le RGPD a été mis en place pour protéger ces individus et leurs données, mais également pour sensibiliser les opérateurs de traitement à protéger ces données. Désormais, il sera obligatoire de présenter de façon claire, intelligible et aisément accessible aux utilisateurs le traitement effectué sur leurs données. Les utilisateurs doivent également donner leur consentement de façon non-ambigüe pour le traitement de leurs données et le responsable de traitement se doit de pouvoir fournir la preuve de ce consentement.
Afin de redonner la maîtrise de leurs données personnelles aux individus, le RGPD détermine un droit à la portabilité des données : les utilisateurs peuvent récupérer des données sous une forme réutilisable facilement, et de pouvoir les transférer à une autre personne.
Les données des mineurs de moins de 16 ans sont qualifiées de sensibles et doivent faire l’objet d’un traitement spécifique.
Si des données sensibles sont volées par des pirates informatiques, les individus victimes pourront entreprendre des actions collectives.
Enfin, l’utilisateur ayant subi un dommage moral ou matériel lié à une violation du règlement peut obtenir réparation du préjudice subi de la part du responsable du traitement ou du sous-traitant.
Le RGPD favorise la transparence et la responsabilisation
Le RGPD veut responsabiliser les opérateurs traitant des données personnelles : ils devront désormais récupérer seulement les données indispensables au bon fonctionnement de leur activité, et s’assurer de mettre en place des mesures pour les protéger du vol, et pouvoir démontrer cette conformité à n’importe quel moment. Cela signifie par exemple qu’une boutique en ligne ne vous demandera plus votre année de naissance puisqu’elle n’en a pas besoin pour traiter et expédier votre commande.
Un impact lié à cette nouvelle règle est l’allègement des formalités administratives : le régime déclaratif est totalement supprimé. C’est à dire qu’il n’est désormais plus obligatoire de procéder à une déclaration à la CNIL des traitements de données effectués.
Les entreprises vont devoir mettre en oeuvre des outils de conformité :
- Désignation d’un Délégué à la Protection des Données (DPO)
- Tenue d’un registre des listes et traitements mis en oeuvre
- Certification des traitements
- Notification des failles de sécurité aux personnes concernées et à la CNiL
- Adhésion à des codes de conduite
- Études d’impact sur la vie privée (EIVP)
Quelles seront les sanctions en cas de non-respect du RGPD ?
En cas de non-respect des dispositions du règlement, les responsables de traitement ou sous-traitants pourront faire l’objet de sanctions administratives.
Vous pouvez retrouver les textes officiels du RGPD ici :
