Ce site utilise des cookies pour analyser le trafic et améliorer votre expérience. Nous vous invitons à consulter notre politique de protection de la vie privée pour en savoir plus Je suis d'accord

RGPD : Un cadre nouveau pour la protection des données en Europe

RGPD : Un cadre nouveau pour la protection des données en Europe

 

 

2018, l’année 0 du RGPD

2018 verra apparaître d’importantes modifications dans le droit de la protection des données personnelles en Europe. C’est en effet le 25 mai 2018 qu’entrera en vigueur le Règlement Général sur la Protection des Données (RGPD) qui modifie en profondeur les règles s’appliquant à la matière.

Même si le texte ne constitue pas à proprement parler une révolution, les changements qu’il porte sont sensibles. Notamment, parce qu’au lieu d’une directive qui suppose une transposition dans le droit de chaque État membre, il s’agit d’un règlement dont l’application est, en principe, identique dans l’ensemble de l’Union Européenne. Ensuite, parce qu’il précise la manière de mettre en œuvre certains principes fondamentaux tels la transparence des traitements de données. Enfin, parce qu’il met en place des sanctions particulièrement lourdes pour les contrevenants.

 

L’accent mis sur la transparence

Le règlement ignore des mesures purement formelles qui existaient sous l’empire de la directive qui le précédait (par exemple l’obligation de déclarer les traitements) en faveur d’une amélioration de la transparence des traitements. Le règlement met ainsi l’accent sur l’information qui doit être fournie aux personnes dont les données sont traitées. Elle doit être complète et communiquée sous une forme « intelligible », en des termes « clairs et simples ». L’exigence d’un consentement éclairé, écarte, par exemple, la possibilité de collecter des données auprès des enfants de moins de 13 ans.

La personne dont les données sont collectées voit ses droits à s’opposer aux traitements dans certaines circonstances (par exemple à des fins de marketing direct), élargies et simplifiées. Elle peut aussi exiger que les données collectées lui soient remises sous une forme permettant de les transmettre à un autre fournisseur (« portabilité des données »). Enfin, la personne peut s’opposer au profilage, par exemple sur le fondement de ses données personnelles.

 

Renforcement des obligations des responsables de traitement

Les responsables de traitement et les sous-traitants voient, eux, leurs obligations s’accroître de manière significative. Dans toutes leurs démarches, ils doivent s’efforcer de prendre en compte la problématique de la sécurité des données et réduire au minimum les quantités de données collectées. Il leur faut en outre, prendre toutes les mesures techniques et organisationnelles adaptées à la nature et aux risques liés aux données traitées. Les organisations qui traitent habituellement de grandes quantités de données (tels les instituts de sondage) seront tenus de désigner un délégué à la protection des données. Enfin, les responsables de traitement devront communiquer les failles de sécurité aux autorités, à leurs clients et aux personnes dont ils traitent les données.

Les transferts de données vers des pays n’offrant pas le même niveau de protection sont strictement limités à des cas précis. On se souviendra que, l’année dernière, la remise en cause de l’accord de « Safe Harbor » par la Cour de Justice des Communautés Européennes avait fait couler beaucoup d’encre. On peut parier qu’il en sera de même pour son successeur, le « Privacy Shield », appelé à s’articuler avec le règlement.

Les sanctions prévues par le règlement sont particulièrement impressionnantes puisque les amendes peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial des contrevenants. La responsabilité des sous-traitants est également largement renforcée.

 

Il n’est pas trop tard pour bien faire

Il n’est pas trop tard pour mettre en œuvre les obligations qui découlent du RGPD. Toutefois, il ne faut pas non plus se laisser aller à un optimisme béat. Il y a fort à parier que les autorités chargées de la mise en œuvre de la nouvelle réglementation mettront tout en œuvre pour augmenter les contrôles dès l’entrée en vigueur du règlement.

Quelles sont les démarches qu’une entreprise doit entamer en vue de se mettre en conformité avec le règlement ? La première est certainement que ses instances dirigeantes prennent conscience de l’importance prépondérante de la protection des données personnelles. La direction opérationnelle, voire le conseil d’administration, doivent se saisir du dossier. Il leur reviendra, dans certains cas prévus par le règlement, de désigner un responsable de la protection des données qui veillera à ce que les mesures requises en vue de la mise en œuvre des mesures légales soient effectivement prises.

En particulier, il s’agira d’assurer la formation des employés à la problématique de la protection des données. Ils sont le maillon le plus essentiel de l’entreprise à ce niveau. On aura beau mettre en place les technologies de protection les plus évoluées, si les employés continuent à transporter des données personnelles non-cryptées sur des clés USB, la protection des données restera lettre morte.

 

Et ACTITO dans tout ça ?

ACTITO n’a pas attendu l’adoption du RGPD pour veiller à la protection des données personnelles. Depuis la création de la société, nous avons adopté un ensemble de pratiques destinées à assurer la sécurité des données.

Nous avons ainsi fait le choix de gérer nous-mêmes nos infrastructures techniques dans des centres de données sécurisés situés en Europe et offrant une redondance complète. Notre personnel est formé aux différents aspects de la sécurité informatique. Ainsi, dans le cadre du développement d’ACTITO, nous appliquons des méthodologies de développement permettant de limiter les risques de pertes de données.

En tant que juriste spécialisé en protection des données personnelles, notre directeur et co-fondateur, Benoît De Nayer, consacre une partie importante de son activité à maintenir ses connaissances en la matière à jour. Cela nous permet de nous assurer que la société va dans la bonne direction. En outre, à la demande de nos clients, Benoît De Nayer donne des formations externes afin de démystifier le RGPD auprès des employés.

 

Une opportunité pour les entreprises européennes

Malgré le caractère très strict des dispositions du RGPD qui peut donner de la protection des données personnelles une image négative, nous pensons au contraire que l’existence d’un tel cadre unifié constitue, pour les entreprises européennes, une réelle chance de se différencier dans la compétition mondiale en mettant en avant un souci constant de protection des intérêts des consommateurs et des citoyens.

 

Inscrivez-vous à notre webinar sur le RGPD en collaboration avec Kestio