Les 5 points essentiels du Règlement Général sur la Protection des Données

 

Un cadre juridique unifié, des nouvelles amendes, de nouveaux droits, des outils de conformité, des responsabilités partagées : voici les 5 points essentiels qu’il faut retenir !

 

 

 

1 – Le cadre juridique

  • Le texte adopté est un règlement européen, ce qui signifie que, contrairement à une directive, il est directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents Etats membres. Le même texte s’appliquera donc dans toute l’Union. Le règlement est applicable à partir du 25 mai 2018. Dès lors, les traitements déjà mis en œuvre à cette date devront d’ici là être mis en conformité avec des dispositions du règlement.
  • Le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler ».

En pratique le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.

2 – Les sanctions

Deux types d’amendes :

  • Amendes de 10 millions € ou 2% du CA annuel mondial total de l’exercice précédent maximum : violation des obligations en matière de protection des données dès la conception et par défaut absence de contrat avec les sous-traitants, insuffisance des clauses relatives à la protection des données, défaut de tenue du registre des activités de traitement, violation des règles en matière de sécurité des données, de modification des violations de données et d’analyse d’impact.
  • Amendes de 20 millions € ou 4% du CA annuel mondial total de l’exercice précédent maximum : violation des principes, violation des règles applicables au consentement, violation des règles relatives aux droits des personnes, violation des règles applicables aux transferts de données personnelles.

3 – Renforcement des droits des personnes

  • Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.
  • Le droit à la portabilité. Ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable et, le cas échéant, de les transférer ensuite à un tiers.
  • Pour la première fois, la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans. L’information doit être rédigée en des termes clairs et simples, que l’enfant peut aisément comprendre.

4 – Des outils de conformité

  • La tenue d’un registre des traitements mis en œuvre
  • La notification de failles de sécurité (aux autorités et personnes concernées)
  • La certification de traitements
  • L’adhésion à des codes de conduites
  • Le DPO (délégué à la protection des données)
  • Les Etudes d’Impact sur la vie Privée (EIVP)

5 – Responsabilités partagées

Le règlement européen sur la protection des données vise à responsabiliser les acteurs des traitements de données en uniformisant les obligations pesant sur les responsables de traitements et les sous-traitants.

  • Le représentant légal est le point de contact de l’autorité.
  • Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability.

 

Source : Texte de la CNIL « Règlement européen sur la protection des données : ce qui change pour les professionnels »

 

9 mai 2017