RGPD : ce qui va changer
Le RGPD est le Règlement Général pour la Protection des Données à caractère personnel (ou GDPR pour "General Data Protection Regulation") adopté par le Parlement Européen, et applicable à l'ensemble des membres de l'UE, sans transposition locale, à partir du 25 mai 2018.
Une des limites de la loi Informatique et Libertés actuelle est qu'elle s'applique aux entreprises qui sont établies en France ou qui ont recours à des moyens de traitement en France.
Le RGPD en revanche, s'appliquera beaucoup plus largement.
Pour ne pas être soumis au RGPD, il faut :
- N'avoir aucune entité en UE
- Et ne pas fournir un bien ou un service, même gratuitement à des personnes se trouvant en UE
- Et/Ou ne pas faire de profilage ou de suivi de comportement
Un règlement applicable à l'UE sans transposition
La déclinaison par chaque Etat Membre n'est plus possible. Certaines dispositions devront cependant être précisées par chacun dans les lois nationales.
Un champ territorial étendu
Désormais une société́ établie en dehors de l'UE pourra être soumise au RGPD dès lors qu'elle offre des services ou des biens à des personnes concernées dans l'UE.
Davantage de responsabilités pour les sous-traitants
Désormais directement responsables de certaines dispositions, les sous-traitants pourront être sanctionnés par la CNIL et devront tenir un registre.
Plus de données sensibles
La définition des données sensibles est élargie : on ajoute les données génétiques et biométriques. Leur traitement est, en principe, interdit.
De nouveaux droits
Droit à la portabilité, à l'oubli, protection des mineurs, organiser le sort de ses données après sa mort, droit à la limitation.
Une ressource clé
Le Data Protection Officer. Obligatoire pour les autorités/organismes publics et pour les responsables de traitements réalisés "à grande échelle" et leurs sous-traitants.
Accountability, LE principe à appliquer
Le régime déclaratif auprès de la CNIL est terminé́. Désormais les entreprises devront être capables de fournir la documentation, justifier leurs choix, tracer les actions et prouver leur conformité.
Gestion par les risques
Via les Privacy Impact Assessments (PIA).
Les traitements susceptibles d'engendrer un risque élevé́ pour les droits et libertés d'une personne devront faire l'objet d'une analyse d'impact. Si l'analyse confirme le risque élevé́, la CNIL devra être consultée.
Il faut notifier les violations de sécurité
Le responsable de traitement devra notifier les violations de sécurité́ à la CNIL dans les 72h. En cas de risque élevé, il notifie aussi les personnes concernées. Le sous-traitant notifie le responsable de traitement dans les meilleurs délais.
Les sanctions sont plus lourdes
Une violation des obligations générales du responsable de traitement pourra couter 2% du CA annuel mondial d'une entreprise ou 10 millions d'euros (on retient le plus élevé́), en cas de non-respect d'une injonction, des principes de base d'un traitement, ou des transferts hors UE on "double la mise" (4% - 20 millions).
Mise en conformité RGPD
Les équipes de Claranet vous accompagnent pour réusssir votre mise en conformité.