Le Règlement sur la Protection des Données Personnelles (RGPD) entrera en vigueur le 25 mai 2018.
Il vient remplacer la Directive 95/46/CE qui n’avait pas anticipé toutes les innovations digitales que nous avons connu cette dernière décennie (réseaux sociaux, big data, Cloud, objets connectés …).
Pour comprendre ce qui va changer avec l’arrivée de ce règlement, nous allons aborder ici les 6 évolutions majeures.
1. Une harmonisation de la réglementation
Avec la directive 95/46/CE, chaque pays de l’Union Européenne appliquait sa propre réglementation. Formant ainsi un véritable patchwork de directives où il était difficile de s’y retrouver d’un pays à un autre.
Mais ça, c’était avant.
Avec l’arrivée du RGPD, nous nous dirigeons vers une harmonisation de la réglementation, avec l’application d’un texte commun. Cette réglementation sera applicable de la même façon dans l’ensemble des pays de l’Union Européenne, ce qui facilitera l’application des nouvelles règles du jeu pour tous !
2. Evolution du champ d’application territorial et matériel
La directive s’appliquera aux traitements effectués au sein de l’UE mais également à ceux effectués hors de la zone UE et qui visent des résidents européens.
Par ailleurs, en plus de s’appliquer au responsable de traitement, la directive visera également les sous-traitants, en leur imposant les mêmes obligations.
Je vous invite à consulter l’article « Quelles sont les exigences de la GDPR ? » qui revient sur ce point.
3. Consentement et droits des individus
Le RGPD impose que la demande de consentement soit formulée en des termes clairs et simples. Le silence, l’inactivité ou une case à cocher par défaut ne peuvent donc pas être considérés comme un accord. Enfin, le consentement peut être retiré à tout moment. A ce niveau, retrouvez plus de détail dans l’article « Comment collecter des données personnelles en respectant le RGPD ? ».
De plus, la directive vise à renforcer les droits des personnes physiques dont les données personnelles sont collectées et traitées. Ainsi, toute personne dispose des droits suivants :
- Droit à l’information : accéder aux informations liées au traitement (finalité, rappel des droits, …)
- Droit d’accès : le droit d’avoir de la visibilité sur l’ensemble de leurs données personnelles
- Droit de rectification : pouvoir compléter ou rectifier les données
- Droit à l’effacement : la possibilité d’obtenir l’effacement de ses données
- Droit à la portabilité : la personne a le droit de recevoir les données et de les transmettre à un autre responsable de traitement sans que le responsable du traitement initial y fasse obstacle.
4. Simplification des processus
Grâce à la directive, nous nous dirigeons vers un allègement des formalités administratives. Fini donc les déclarations qui devaient être réalisées en amont de tout traitement et des contrôles post-traitement. Nous entrons dans l’ère de la responsabilisation des acteurs : l’accountability.
En résumé, tous les acteurs des traitements doivent être capables, n’importe quand, de montrer qu’ils sont dans le cadre du RGPD, preuves à l’appui.
5. Les sanctions
Sur ce point, la directive prévoit des sanctions plus lourdes que celles appliquées avec la réglementation actuelle. En effet, ces dernières pourront s’élever jusqu’à 4% du chiffre d’affaires mondial total de l’entreprise.
De plus, d’autres sanctions seront applicables par les autorités nationales comme :
- Prononcer un avertissement
- Mettre en demeure l’entreprise
- Limiter temporairement ou définitivement un traitement
- Suspendre les flux de données
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes
- Ordonner la rectification, la limitation ou l’effacement des données
6. Le concept de Privacy by Design
Ce concept impose que les règles du RGPD soient intégrées dès la conception d’un projet (produit, service, outils de récolte,…).
C’est un principe nécessaire afin d’éviter tout risque de violation sur la protection de nos données, puisque tout sera mis en place en amont d’un traitement, pour respecter le règlement.
Pour conclure, dans un monde digital en perpétuelle évolution, nous voyons que tout a été pensé dans le RGPD pour protéger la vie privée des citoyens européens.
Nos données personnelles sont de plus en plus récoltées, échangées et utilisées. Ce règlement vient poser un cadre avec les concepts et évolutions que nous venons de parcourir.
Le RGPD doit être perçu comme une mise à jour commune nécessaire, et comme un vecteur de confiance entre l’entreprise et ses clients.