Le RGPD ou règlement européen sur la protection de la vie privée, est un texte de loi qui renforce les dispositions prises concernant le traitement de données à caractère personnel. Applicable dans les Etats membres, il remplace la directive sur la protection des données à caractère personnel de la CNIL ou Commission Nationale Informatique et Libertés ! Mais quels sont les objectifs de ce règlement général ?
Quand la politique de protection des données s’applique-t-elle ?
Le RGPD, dont le respect est une obligation légale pour les entreprises, est entré en vigueur le 25 mai 2018. Toute infraction au RGPD peut donner droit à des sanctions.
En effet, des amendes allant jusqu’à 20 millions d’euros ou 4% du CA peuvent être demandées aux entreprises ne respectant pas la vie privée des personnes concernées.
Les 4 points caractérisant la protection des données
Le consentement de la personne concernée
Selon l’article 7 du RGPD, la personne concernée doit donner explicitement son accord en ce qui concerne le traitement des données personnelles la concernant. Il peut s’agir d’une déclaration écrite ou orale !
Il faut savoir que le consentement peut être retiré à tout instant. Par contre, pour les entreprises BtoB, le consentement n’est pas obligatoire si la finalité des données collectées est respectée.
Pour en savoir plus sur l’actualité rgpd, vous pouvez saisir sur internet : rgpd et crise sanitaire !
La transparence
L’entreprise doit donner des informations claires et précises sur la manière dont s’effectuera les traitements de données ainsi que leurs finalités.
Les données sensibles et personnelles doivent être accessibles à tous via des documents contractuels ou encore des pages spécialisées « privacy ». Aussi, il est indispensable que le délégué à la protection (Dpo), accompagné du responsable du traitement et de ses sous-traitants, garantissent une durée de conservation des données, correcte.
Le respect des droits des personnes physiques
Lors du traitement de leurs données à caractère personnel par divers prestataires et entreprises, les personnes concernées disposent de plusieurs droits :
- Le droit d’accès aux données à caractère personnel ;
- Le droit à l’oubli ;
- Le droit d’effacement et de rectification des données traitées ;
- Le droit d’opposition à un traitement des données ;
- Le droit à la portabilité des données.
Le principe d’accountability
Ce principe regroupe toutes les mesures techniques et les obligations légales que les entreprises doivent suivre pour assurer la protection des données personnelles.
Il est impératif d’assurer la sécurité des données traitées en appliquant par exemple le privacy by design. C’est un concept qui impose la protection des données personnelles dès la conception.
Les entreprises doivent aussi choisir un sous-traitant conforme au RGPD ainsi qu’un data protection officer en charge d’évaluer la conformité d’un organisme lors de la collecte de données.
Les missions du DPO dans la protection des données personnelles
Le DPO a un rôle important dans le cadre de la protection des données personnelles. Il se charge de la mise en conformité avec le règlement légal et s’assure que tous les collaborateurs respectent ces dispositions quand ils utilisent les données !
Le DPO se doit de collaborer étroitement avec tous les départements d’une entreprise. Sa nomination est indispensable pour les entreprises dont l’activité de base consiste à traiter des données à grande échelle. Il peut aussi être mutualisé, donc être nommé pour plusieurs organismes et ce, sous certaines conditions.
On peut donc dire que le DPO succède au correspondant informatique et libertés (plus obligatoire depuis 2005). Il est chargé de faire respecter la loi informatique et libertés, qu’il s’agisse d’une entreprise publique ou privée. De plus, il doit avoir certaines qualités importantes comme le professionnalisme ou la connaissance du droit pour garantir le respect des données !
Les sanctions relatives au non-respect des dispositions du RGPD
Les sanctions pour non-respect du RGPD sont mises en avant par l’article 83. En termes de sanctions administratives, il en existe 2 sortes :
- L’amende de 10 millions d’euros ou 2% du CA pour le non-respect des dispositions incombant au sous-traitant et au responsable du traitement ;
- L’amende de 20 millions d’euros ou 4% du CA, pour le non-respect des obligations relatives au consentement des personnes concernées ou encore l’obligation de mettre en place des mesures précises en cas de transferts de données.
Bien évidemment, une entreprise qui ne respecte pas ces obligations peut être soumise à des sanctions pénales. Les États membres peuvent mettre en place les dispositions nécessaires pour les entreprises susceptibles de violer les obligations du RGPD. Les peines peuvent aller jusqu’à 5 ans de prison et 300 000 euros d’amende. Ces sanctions pénales sont établies dans les articles 226-16 à 226-24.