QU’EST-CE QUE LE RGPD ?
Le Règlement Général sur la Protection des Données à caractère personnel dit « RGPD » (ou GDPR pour « General Data Protection Regulation ») adopté par le Parlement Européen en 2016, est applicable à l’ensemble des états membres de l’Union Européenne, sans transposition locale, depuis le 25 mai 2018.
La déclinaison par chaque Etat Membre n’est plus possible. Certaines dispositions sont cependant précisées par chaque état dans sa loi nationale.
Désormais une société́ établie en dehors de l’Union Européenne est soumise au RGPD dès lors qu’elle offre des services ou des biens à des personnes concernées dans l’UE.
En fonction des dispositions contractuelles avec leurs clients, les sous-traitants peuvent être sanctionnés par la CNIL et doivent tenir un registre de leurs activités de sous-traitance.
La définition des données sensibles est élargie aux données génétiques et biométriques. Avant leur collecte, elles peuvent nécessiter le consentement explicite des personnes concernées.
De nouveaux droits pour les personnes concernées sont introduits et doivent être appliqués par l’organisme comme le droit à la portabilité, à l’oubli, la protection des mineurs, le droit à la limitation et permettre du vivant de la personne d’organiser le sort de ses données après sa mort.
Le délégué à la protection des données dit « DPO » (Data Protection Officer) est obligatoire pour les autorités et les organismes publics, pour les organismes privés effectuant des traitements à grande échelle et ainsi que leurs sous-traitants.
Le régime déclaratif auprès de la CNIL est terminé́. Désormais les organismes doivent être capables de fournir la documentation nécessaire sur le traitement, justifier leurs choix, tracer les actions et prouver leur conformité.
Une approche par défaut de la gestion des risques des traitements de données est introduite par le RGPD Cette notion appelée « Privacy by design & by default » est au cœur du RGPD. Un traitement de données ne peut être mis en œuvre sans mener une analyse de risque permettant de protéger par défaut les données et les droits de la personne concernée.
Les traitements susceptibles d’engendrer un risque élevé́ pour les droits et libertés d’une personne doivent faire l’objet d’une analyse d’impact. Si l’analyse ne peut réduire le risque élevé́, la CNIL doit être consultée avant la mise en œuvre du traitement.
Le responsable de traitement doit notifier les violations de données à la CNIL dans les 72h. En cas de risque élevé, il notifie aussi les personnes concernées. Le sous-traitant notifie le responsable de traitement dans les meilleurs délais.
|
Pour les personnes concernées, la violation engendre : |
aucun risque |
un risque |
un risque élevé |
|
Documentation interne, dans le « registre des violations » |
X |
X |
X |
|
Notification à la CNIL, dans un délai maximal de 72h |
– |
X |
X |
|
Information des personnes concernées dans les meilleurs délais, hors cas particuliers |
– |
– |
X |
À l’issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL ou son président peuvent prononcer des sanctions à l’égard des responsables de traitements qui ne respecteraient pas ces textes.
Avec le RGPD, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’un organisme privé jusqu’à 4 % du chiffre d’affaires annuel mondial. Ces sanctions peuvent être rendues publiques.
Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la formation restreinte de la CNIL peut :
- Prononcer un rappel à l’ordre ;
- Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
- Prononcer une amende administrative.