QU’EST-CE QUE LE RGPD ?

Le RGPD est le Règlement Général sur la Protection des Données à caractère personnel (ou GDPR pour « General Data Protection Regulation ») adopté par le Parlement Européen en 2016, et applicable à l’ensemble des membres de l’UE, sans transposition locale, à partir du 25 mai 2018.

La déclinaison par chaque Etat Membre n’est plus possible. Certaines dispositions devront cependant être précisées par chacun dans les lois nationales.

Désormais une société́ établie en dehors de l’UE pourra être soumise au RGPD dès lors qu’elle offre des services ou des biens à des personnes concernées dans l’UE.

Désormais directement responsables de certaines dispositions, les sous-traitants pourront être sanctionnés par la CNIL et devront tenir un registre.

La définition des données sensibles est élargie : on ajoute les données génétiques et biométriques. Leur traitement est, en principe, interdit.

Droit à la portabilité, à l’oubli, protection des mineurs, organiser le sort de ses données après sa mort, droit à la limitation.

Le DPO (Data Protection Officer). Obligatoire pour les autorités/organismes publics et pour les responsables de traitements réalisés « à grande échelle » et leurs sous-traitants.

Le régime déclaratif auprès de la CNIL est terminé́. Désormais les entreprises devront être capables de fournir la documentation, justifier leurs choix, tracer les actions et prouver leur conformité.

Gestion des risques via les Privacy Impact Assessments (PIA).
Les traitements susceptibles d’engendrer un risque élevé́ pour les droits et libertés d’une personne devront faire l’objet d’une analyse d’impact. Si l’analyse confirme le risque élevé́, la CNIL devra être consultée.

Le responsable de traitement devra notifier les violations de sécurité́ à la CNIL dans les 72h. En cas de risque élevé, il notifie aussi les personnes concernées. Le sous-traitant notifie le responsable de traitement dans les meilleurs délais.

Une violation des obligations générales du responsable de traitement pourra couter 2% du CA annuel mondial d’une entreprise ou 10 millions d’euros (on retient le plus élevé́), en cas de non-respect d’une injonction, des principes de base d’un traitement, ou des transferts hors UE la mise estdoublée (4% – 20 millions).