En vigueur depuis le 25 mai 2018, le RGPD (Règlement sur la protection des données) a induit de nombreuses nouveautés pour les professionnels. Sanctions, cadre juridique ou encore partage des responsabilités : découvrez tout ce qui a changé pour les entreprises.
1. La création d'un cadre juridique européen
Prenant la forme d'un règlement européen, le RGPD est applicable en l'état dans les différents pays membres de l'Union européenne, et ce, sans nécessiter de transposition dans les droits nationaux. Son application a ainsi permis la création d’un nouveau cadre juridique à l’échelle du continent, présentant plusieurs particularités spécifiques.
- Une extension du champ d’application : le RGPD concerne toutes les entreprises et les sous-traitants établis au sein de l'Union européenne, ainsi que ceux traitant les données de résidents européens.
- Un nouveau guichet unique : les professionnels sont désormais en relation avec une autorité de protection des données, située dans le pays où se trouve leur établissement principal. Les entreprises disposent ainsi d'un interlocuteur national unique.
- Une meilleure coopération européenne : certaines opérations de traitement des données peuvent concerner les résidents de plusieurs pays européens. Dans ce cadre, le RGPD permet de renforcer la coopération entre les différents États.
2. Une meilleure protection du droit des personnes
En tant que professionnel, le RGPD exige que vous appliquiez de nouvelles mesures dans l'optique d'améliorer la protection des droits des personnes dont vous collectez les données personnelles.
- Meilleur consentement : les individus doivent pouvoir consentir à l'usage de leurs données de manière libre, claire et transparente.
- Obligation d’information : les entreprises doivent informer les personnes dont elles utilisent les données sur leurs différents droits (accès, opposition, rectification, effacement, etc.).
- Nouveaux droits : le RGPD introduit de nouveaux droits pour les personnes, dont le droit à la portabilité de leurs données, une meilleure protection des données des enfants et un droit à réparation des dommages en raison d'une violation du règlement.
3. Une exigence de transparence et de responsabilité
Depuis la mise en œuvre du RGPD, les professionnels ont l’obligation de garantir leur bonne conformité via l'application de certains principes élémentaires.
- Le « privacy by design » : la bonne application du RGPD doit être mise en œuvre dès la conception d'un produit ou d'un service entraînant l'usage de données personnelles, notamment dans l'optique de minimiser la quantité d'informations collectées.
- La responsabilisation des entreprises : les professionnels doivent pouvoir prouver, à tout moment, qu'ils ont bien mis en place les mesures nécessaires à la protection des données. Ils n'ont donc plus d'obligations déclaratives, mais restent malgré tout responsables vis-à-vis des informations personnelles utilisées.
- L’obligation d’alerte : en cas de violation de données personnelles, l'entreprise a l'obligation d'en informer le guichet unique dans les 72 heures. Les individus concernés doivent aussi être informés si cette violation peut entraîner un risque élevé pour les droits de ces mêmes individus.
Pour répondre à cette obligation de transparence, les professionnels dispose de nouveaux outils de conformité, dont :
- un registre de traitements ;
- des codes de conduite ;
- les AIPD (analyses d'impact relatives à la protection des données).
4. Une meilleure définition des responsabilités
L'entreprise responsable du traitement des données constitue le référent vis-à-vis de l'autorité de régulation des données personnelles, à savoir le guichet unique national. Au sein de cette entreprise, un représentant légal doit être désigné : c'est cette personne qui est en contact privilégié avec les autorités. Elle peut ainsi être consultée pour toutes les questions qui portent sur le traitement des informations personnelles.
Dans le cadre du RGPD, les sous-traitants sont également tenus de respecter des règles spécifiques : elles portent notamment sur la sécurité des données, leur confidentialité et la mise en place de procédures permettant de prouver le bon respect du règlement. Par conséquent, un sous-traitant a la même responsabilité que tout autre responsable de traitement, et ce, bien qu'il traite des données personnelles pour le compte d'un tiers.
5. L'encadrement du transfert de données
Les professionnels et leurs éventuels sous-traitants sont autorisés à transférer des données personnelles en dehors de l'Union européenne. Toutefois, ce transfert n'est possible que si des outils garants de la protection des informations personnelles sont utilisés. L’objectif ? Renforcer les droits des personnes, dans la mesure où le transfert de données peut représenter une opération à risque.
De plus, malgré leur transfert, les données personnelles restent soumises à la réglementation européenne. Toute opération de traitement ou de transfert ultérieur doit donc être effectuée conformément aux dispositions du RGPD. Pour garantir ce principe, de nouveaux outils sont mis à disposition des professionnels, tels que :
- les règles d'entreprises contraignantes ;
- les clauses contractuelles types ;
- les codes de conduite ;
- les accords contraignants.
6. L’instauration d’un référentiel de sanctions
La mise en place du Règlement général sur la protection des données a également permis aux autorités de définir l'ensemble des sanctions possibles en cas de non-respect de la réglementation encadrant la protection des données. En cas de manquement, l'entreprise concernée peut notamment faire l'objet :
- d'un avertissement ;
- d'une mise en demeure ;
- d'une limitation temporaire ou définitive du droit à réaliser des traitements ;
- d'une suspension des échanges de données ;
- d'une obligation de respecter les droits des personnes ;
- d'une obligation de rectifier, limiter ou effacer des données.
Dans le même cadre, le RGPD encadre désormais le montant des amendes administratives, et ce, selon la nature de l'infraction constatée. Ainsi, l'amende maximale correspond au maximum à 2 à 4 % du chiffre d'affaires annuel mondial, dans la limite de 20 millions d'euros.
7. L’obligation de respecter 6 grands principes
Dans l'optique de respecter le Règlement général sur la protection des données, les professionnels ont désormais l'obligation d’appliquer 6 grands principes. Ils doivent être connus de toute personne au sein de l'organisation étant en contact avec des informations personnelles.
- Collecter uniquement les données utiles : les informations personnelles ne peuvent être collectées que dans un objectif bien précis et légitime, sans possibilité d'un traitement ultérieur qui ne respecte pas cette finalité. Par conséquent, les entreprises doivent être en mesure de définir cette finalité et de s’y tenir.
- Faire preuve de transparence : les personnes doivent pouvoir conserver la maîtrise des données personnelles les concernant. Pour cela, les professionnels ont l'obligation de les informer clairement de la manière dont leurs informations sont utilisées. Ils doivent également les informer de l'ensemble des droits dont ils disposent (accès, rectification, portabilité, rectification, etc.).
- Faciliter l'exercice des droits des personnes : les entreprises doivent mettre en œuvre tous les moyens permettant aux individus d'exercer facilement leurs droits. Cela vaut notamment pour le recueil du consentement, l'accès aux données ou encore les demandes de rectification, de suppression et d'opposition. Pour cela, il est notamment nécessaire que ces droits puisent être exercés par le biais d'une adresse e-mail.
- Limiter la durée de conservation des données : les informations personnelles ne peuvent pas être conservées de manière indéfinie. Les professionnels doivent donc fixer une durée de conservation légitime pour chaque type de données et appliquer des procédures visant à leur archivage ou à leur suppression à l'issue de la période définie.
- Sécuriser les données : les entreprises doivent mettre en place toutes les actions nécessaires pour garantir la sécurité des données (changement régulier des mots de passe, mise à jour des logiciels anti-virus, restriction des accès aux données, etc.). Une évaluation préalable des risques doit également être réalisée pour limiter leur survenue.
- Adopter une démarche continue : la protection des données personnelles doit s'inscrire dans une procédure continue et durable. Cela impose donc de faire preuve de pédagogie auprès de ses équipes, mais également d'actualiser les process afin de garantir la conformité des pratiques dans le temps.