Le RGPD ou Règlement Général sur la Protection des Données, est un règlement européen adopté en avril 2016 et qui entrera pleinement en vigueur le 25 mai 2018, avec des dispositions transitoires d’ici là. Son but est d’encadrer et d’harmoniser au niveau européen l’utilisation des données à caractère personnels. Cette règlementation va fortement impacter nos activités.
Dans le contexte actuel de digitalisation des données, qu’il s’agisse des données concernant votre personnel ou vos clients, le flux d’informations personnelles n’a jamais été aussi important. Cette règlementation a pour objectif de renforcer le cadre d’utilisation des données personnelles afin de renforcer les droits des individus et de mieux protéger leur vie privée. En outre, cette règlementation veut également responsabiliser tous les acteurs concernés par la collecte et le traitement de données à caractère personnel. La responsabilité devient « horizontale » c’est-à-dire que tous les maillons de la chaîne doivent s’engager et non uniquement le responsable de traitements des données. Dès 2018, l’entreprise, les sous-traitants et les partenaires commerciaux auront le même niveau de responsabilité et devront donc tous respecter et se mettre en conformité avec le RGPD.
Peu importe que vous soyez un auto-entrepreneur, un artisan, une TPE ou un consortium international, une entreprise privée ou publique, vous devrez tous vous soumettre à ses exigences. Afin d’être sûr de l’implication de tous, les sanctions applicables sont renforcées. Depuis octobre 2016, elles peuvent s’élever jusqu’à 3.000.000 d’euros et pourront monter jusqu’à 20.000.000 € ou 4% du chiffre d’affaires mondial à compter du 25 mai 2018.
Chaque intervenant sera dans l’obligation de s’assurer du recueil d’un consentement positif et éclairé de chaque individu, consentement qui portera sur une ou plusieurs finalité précises. Nous assistons donc avec ce règlement à une minimisation des données utilisées par finalité. Dans ce contexte, il est évident que le silence ne pourra plus faire office de consentement, et que les cases précochées seront interdites. La charge de la preuve vous incombera. Sachez que des actions de groupe, dirigée par des associations seront possibles à votre encontre en cas de doute sur votre intégrité.
1 traitement = 1 consentement opt-in
De nouveaux droits apparaîtront également : le droit à la portabilité, le droit de profilage et chaque individu aura le droit à l’oubli.
Afin de s’assurer de la conformité avec le RGPD, les entreprises devront désigner un DPO (Data Protection Officer) délégué à la protection des données et mettre en place une véritable politique de protection des données personnelles afin de pouvoir se prévaloir de la conformité permanente de l’utilisation des données à caractère personnel. Une différence sensible entre le DPO et le référent CNIL est que le DPO doit être compétent dans ce domaine. La déclaration auprès de la CNIL sera supprimée (à l’exception des autorisations pour les données dites sensibles).
Pour résumer, les grands principes du RGPD sont: la finalité, la loyauté & licéité, la proportionnalité et la durée de conservation.
Vous trouverez plus d’information sur ces pages du cabinet Haas Avocats ou de la CNIL.