Le règlement général de la protection des données personnelles ayant une force obligatoire, le RGPD a pour mission de mettre en place un cadre juridique unifié, afin de faire face aux enjeux des traitements de données personnelles. Adopté en 2016 par les autorités publiques, il est entré en vigueur le 25 mai 2018 et remplace la directive de 2015. S’adressant au responsable du traitement des données à caractère personnel, qui va les collecter et les analyser. En France, ce nouveau règlement remplace la loi informatique et libertés de 1978.
Qu’est-ce que cela va changer pour les citoyens européens ?
Les personnes concernées peuvent être des clients d’une entreprise ou des partenaires commerciaux qui travaillent au sein même de l’entreprise. Pour la protection de ces personnes physiques, de nombreux droits leurs sont conférés :
- Le droit d’accès : auprès du responsable du traitement des données d’avoir la conformation sur le traitement de telles ou telles données. L’entreprise dispose d’un mois pour valider cette demande.
- Le droit de rectification, afin de lui garantir une protection relative au mauvais usage de ses données personnelles.
- Le droit d’opposition : Le droit des personnes pour s’opposer au traitement de leurs données.
- Le droit d’effacement dans les meilleurs délais pour la protection des données par le responsable des traitements.
- Le droit à la portabilité c’est-à-dire le droit à la réutilisation de ces données.
- Le droit à la limitation du traitement ou le droit d’interdire au sous-traitant l’usage des données collectées.
Quelles sont les nouveautés dans le cadre de la protection de la vie privée par l’entreprise ?
Les 6 actions que l’entreprise doit mener à bien :
- Le désignation d’une personne s’assurant de mettre en conformité les actions de l’entreprise avec le RGPD. Elle se chargera de dialoguer avec l’autorité de contrôle du règlement européen et de diminuer les risques de contentieux. Les entreprises traitant de données sensibles doivent plus que jamais se conformer aux règles de protection des données.
- Le recensement des fichiers : Les entreprise de plus de 250 employés doivent tenir un registre des traitements pour assurer la mise en conformité de la politique de protection.
- Le repérage des traitements à risque : Il faut que l’entreprise puisse prouver en tout temps qu’elle est en conformité avec les règles relatives à la protection des données. Elle doit donc faire un tri dans ses données. Une analyse d’impact ou Data Protection Impact Assessment devra même se faire pour assurer la cybersécurité des salariés.
- L’octroi aux salariés de la collecte du traitement de leurs données.
- L’assurance d’une violation moindre des données personnelles en réduisant les risques de piratage ou de perte de données. Par ailleurs, il est recommandé de mettre à jour les antivirus et les logiciels.
- Une garantie que les sous-traitants respectent la mise en conformité avec le RGPD.
Il faut savoir qu’avec la loi informatique et libertés de 1978, la peine maximale infligée par les autorités de protection en cas de non-conformité ne pouvait pas dépasser les 3 millions d’euros. Avec le RGPD, les entreprises peuvent encourir des condamnations pénales avec une amende pouvant représenter 4% du CA annuel mondial. Voir ce blog pour avoir un maximum d’informations.
Que se passe si la sécurité relative à la nouvelle règlementation faillit ?
Dans le cas d’une violation de données, une double obligation d’alerte s’impose à tous les employeurs, à la Cnil, dans un délai de 72h et à la personne concernée le plus rapidement possible. La dite violation est celle « entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».