Adopté le 14 avril 2016 et après 4 ans de réflexions et de négociations, le Règlement Général sur la Protection des Données (RGPD) entrera pleinement en vigueur à partir du 25 mai 2018. En tant que règlement, le RGPD est directement applicable au droit national. Ce nouveau règlement constitue l’outil principal de protection des données personnelles des citoyens européens. Et les changements qu’il apporte sont nombreux. Et pour comprendre ces différents changements, suivre une formation RGPD sera indispensable.
Responsabilisation des entreprises et des sous-traitants
L’un des premiers changements apportés par la loi rgpd 2018 est le fait d’imposer l’obligation pour les entreprises de tenir un registre des traitements des données. Cette obligation vient remplacer l’obligation de déclaration obligatoire à la CNIL. Cette nouvelle obligation n’est qu’une application du principe d’accountability. D’après ce principe, l’entreprise doit garantir que les processus de manipulation soient sécurisés et offrent un niveau de confidentialité élevé. La tenue d’un registre oblige les entreprises à inventorier tous les traitements de données personnelles au sein de l’entreprise. Cette obligation de tenir un registre a également été étendue aux sous-traitants.
Un autre changement important imposé par le RGPD, l’identification des traitements qui présentent un risque important pour la vie privée. En présence de ce type de traitement, les entreprises devront faire une étude d’impact sur la vie privée (Privacy Impact Assessment). Pratiquement, il faudra décrire avec précision le type de traitement en question, évaluer les risques, et mettre en action des mesures qui garantissent une sécurité maximale.
Enfin, toujours dans l’optique de responsabilisation des entreprises, le RGPD oblige ces dernières à désigner un Data Protection Officer (DPO). C’est le chef d’orchestre de la gouvernance des données. Il utilise ses connaissances juridiques et techniques pour conseiller les dirigeants de son entreprise et sensibiliser ses collaborateurs aux enjeux du RGPD. Il joue également le rôle d’interlocuteur important de la CNIL.
Transparence et respect des droits des personnes
La transparence et le respect des droits des personnes font partie des plus grands axes du RGPD. Et pour atteindre ces objectifs, le nouveau règlement sur la protection des données a introduit de nouvelles obligations. Tout d’abord, les entreprises devront informer les personnes sur ce qui sera fait de leurs données. Le RGPD met fin à des pratiques douteuses d’obtention du consentement comme la case précochée (opt-in passif).
À part cela, le RGPD garantit également la protection de « nouveaux droits » tels que le droit à la portabilité et le droit à l’oubli. Ces 2 droits offrent la possibilité aux propriétaires des données qui ont été collectées par l’entreprise. En vertu de ces 2 droits, ils peuvent demander la transmission de leurs données à une tierce personne ou tout simplement, demander leur destruction. Et pour information, dans le nouveau règlement sur la protection des données, le traitement des données des personnes de moins de 16 ans ne peut se faire qu’après l’obtention de l’accord d’un représentant légal.
Enfin, toujours dans le cadre du renforcement de la protection des droits des personnes, le RGPD a introduit l’obligation de notification en cas de violation de la vie privée. Ainsi, quand une entreprise constate une violation de la vie privée, elle doit en notifier la CNIL et les personnes propriétaires des données, au plus tard, 72 heures après la découverte de la violation.
Il va sans dire que les nouveaux changements apportés par le RGPD ne se limitent pas aux quelques éléments précités. Pour maitriser l’ensemble de ces changements, il ne faut surtout pas hésiter à suivre une formation RGPD.