Le Règlement européen général sur la protection des données (RGPD) Entrée en vigueur le 16 avril 2016 Application en mai 2018 En 10 questions …
Qu’est-ce que le RGPD ? 1 Le nouveau Règlement, qui sera d’application en mai 2018, établit de nouvelles protections pour les citoyens européens et de nouvelles obligations pour les organisations privées ou publiques en ce qui concerne la protection des données à caractère personnel. À noter que le RGPD est un Règlement européen. Un Règlement, contrairement à une directive ne doit pas être transposé dans le droit national, son texte s’applique donc directement à l’ensemble des pays membres de l’Union européenne.
Qui est concerné par le RGPD ? 2 Tout ressortissant d’un pays de l’UE est protégé par le RGPD. Toute organisation qui réalise un traitement de données à caractère personnel sur le territoire de l’UE ou qui traite des données de citoyens européens, même si le traitement est réalisé hors UE. *Par exemple, une entreprise américaine traitant les données d’un citoyen belge dans son Datacenter américain devra se plier au RGPD.
Quels sont les nouveaux droits pour les personnes ? 3 Les personnes ont droit à une information claire, intelligible et adaptée (par exemple à des enfants si le service s’adresse spécifiquement à eux). Les consentements devront être spécifiques. Cela signifie que, par exemple, il ne sera plus question de glisser une clause en petits caractères perdue parmi des dizaines d’autres clauses dans un contrat de service, stipulant que « vous acceptez que la société X communique vos données à des partenaires ». Le consentement ne pourra donc plus être global, une autorisation devra être données cas par cas.
Sous certaines conditions, la personne bénéficie : 3 D’un droit à la portabilité : la personne peut demander d’obtenir les données le concernant dans un format portable. Ceci peut par exemple lui permettre de communiquer ses données à une autre organisation. D’un droit à l’oubli : elle peut demander l’effacement de ses données. D’un droit à l’opposition et à la limitation de traitement : elle peut demander qu’un traitement ne soit pas réalisé ou suspendu.
Quelles sont les nouvelles obligations lors de la mise en œuvre d’un projet faisant appel à des données à caractère personnel ? 4 Trois nouvelles obligations importantes sont apparues : Avant mise en œuvre de tout projet visant à traiter des données à caractère personnel de citoyens de l’UE, une organisation doit réaliser une analyse visant à évaluer l’impact de ce projet sur les droits et libertés des personnes. L’organisation doit intégrer par défaut et dès la conception du projet les mesures permettant de protéger au mieux les données et de se conformer au RGPD. Elle doit également maintenir un registre exhaustif documentant tous les traitements de données à caractère personnel qu’elle réalise.
Quelles sont les obligations en cas de violation de donnée ? 5 Lors d’une violation de données (c.-à-d. toute action non souhaitée sur les données : fuite, modification, etc.), le Règlement oblige l’organisation responsable de ces données d’informer la commission pour la protection de la vie privée, et le cas échéant, d’informer toutes les personnes concernées par cette violation.
Que risque l’organisation qui ne respecte pas le RGPD ? 6 Les amendes pour non-respect du règlement peuvent s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial ! Une Institution n’ayant pas de chiffre d’affaires, c’est le plafond de 20 millions d’euros qui s’applique.
Quelles sont les nouvelles obligations en cas de sous-traitance ? 7 Lorsqu’il est fait appel à un sous-traitant, il faut veiller contractuellement à ce que le sous-traitant respecte le RGPD, notamment en informant clairement le sous-traitant de la nature des données qu’il aura à traiter. Le sous-traitant à l’obligation d’aider à respecter le RGPD et de communiquer toutes les informations qui sont nécessaires pour cela. Il doit également accepter de se faire auditer.
Quid du transfert de données en dehors de l’UE ? 8 En principe, les données ne peuvent pas quitter le territoire de l’UE, sauf pour être transférées dans certains pays dit adéquat (qui respectent les principes de la législation européenne) ou s’il est établi une contractualisation spécifique répondant à certains critères précis. *À noter que le transfert n’est pas autorisé vers des pays où les personnes ne disposent pas de « droits opposables et de voies de droit effectives », c’est-à-dire vers des pays qui ne sont pas démocratiques.
Quid des projets réalisés en partenariat ? 9 Le RGPD oblige aux partenaires à établir un contrat déterminant les responsabilités respectives des partenaires dans le traitement des données à caractère personnel.
Qui va contrôler ? 10 La commission pour la protection de la vie privée verra ses prérogatives s’étendre. Elle aura des missions de surveillance, d’investigation et de contrôle. Elle pourra également prendre des mesures correctrices.
En savoir plus ? 11 La CNIL (« commission pour la vie privée » en France) : https://www.cnil.fr/comprendre-le-reglement-europeen Deux bonnes synthèses : https://www.sd.be/ellawebsite/fr/legalnews/422a2c77-e884-4f6f-be83- fe10d3628b1f?utm_source=sdworxbe&utm_medium=newsletter http://uvcw.be/no_index/actualite/6908- 32751895983503242017112614819382428391.pdf Un guide de la commission pour la vie privée : https://www.privacycommission.be/sites/privacycommission/files/documents/ST APPENPLAN%20FR%20-%20V2.pdf Le texte RGPD : http://eur-lex.europa.eu/legal- content/FR/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EN