Règlement Géneral

de Protection de Données

Le Règlement Général de Protection de Données (RGPD) est une nouvelle norme qui régira désormais le traitement des données personnelles en Europe et qui remplacera les lois nationales telles que la LOPD. D’une part, il prétend que la protection des données soit appliquée de façon uniforme dans tous les États de l’Union européenne ; de l’autre, il tente d’adapter ce règlement aux avancées technologiques. Bien qu’il soit entré en vigueur le 25 mai 2016, son application ne sera effective et obligatoire qu’à partir du 25 mai 2018.

 

Ce règlement traduit une approche très différente du modèle précédent fondé sur la rédaction de clauses et documents de sécurité, en préconisant désormais une responsabilité proactive (Acountability) qui va au-delà du simple respect de la norme : il faut, de plus, générer des procédures permettant l’accomplissement des obligations, et être capable de démontrer comment les mettre en œuvre.

 

Qu'est ce que le RGPD ?

Données personnelles

Le traitement des données

Les principes sur lesquels se fonde le règlement sont très similaires à ceux prévus dans la LOPD, mais incluent des modifications et innovations très importantes, dont les suivantes sont à souligner :

  • Les prestataires de services qui traitent des données personnelles pour des tiers assument beaucoup plus de responsabilités. En tant que “chargés du traitement”, leur plus grand défi sera de donner confiance à leurs clients sur leur capacité à respecter la norme.
  • Les politiques de confidentialité ne pourront plus être acceptées en bloc via la formule typique « j’ai lu et accepté ». L’utilisateur doit pouvoir choisir à quelles fins il autorise le traitement de ses données, et celles pour lesquelles il ne l’autorise pas.
  • Le concept de données personnelles s’élargit, comprenant les “identifiants uniques” utilisés dans le marketing numérique pour connaître le comportement des utilisateurs et leur offrir de la publicité et des contenus personnalisés.
  • De nouveaux droits sont créés (tels que la « portabilité des données » et le « droit à l’oubli ») ; les entreprises sont tenues d’effectuer une analyse des risques sur leurs activités… et les entreprises de plus de 250 salariés, ou qui traitent des données en masse devront nommer un délégué à la protection des données.

Obligations du RGPD

La réglementation se composant de 99 articles, il est très difficile de les résumer en quelques lignes. Essentiellement, nous pouvons les condenser de la façon suivante :

  • Pour traiter des données personnelles il faut qu’une norme le permette, sauf si nous avons le consentement de la personne concernée.
  • Nous devons fournir à l’intéressé des informations détaillées sur le traitement de ses données personnelles, avec une rédaction concise, simple et facilement accessible.
  • L’information ci-dessus conditionne les utilisations ultérieures des données : par exemple, il serait illégal de les utiliser à des fins que nous n’avons pas dûment expliquées à l’intéressé.
  • Les droits des personnes concernées doivent être respectés, allant de la connaissance des données traitées, à la suppression de ces informations.
  • Les systèmes d’information doivent être conçus en tenant compte des obligations définies dans le RGPD, afin de faciliter l’accomplissement de la norme de la part de ses utilisateurs, et de garantir la sécurité des données personnelles.
  • Dans certains cas, les entreprises devront désigner un “délégué à la protection des données”.

Le RGPD porte uniquement sur le traitement des données personnelles des personnes physiques. Il n’affecte donc pas l’information des personnes morales (les entreprises), mais bien les données de leurs salariés ou dirigeants.

 

Les données personnelles sont toutes les informations sur une personne physique dont l’identité peut être déterminée, directement ou indirectement (« l’intéressé »). Toutes les données de ce type, aussi innocentes qu’elles puissent paraître, méritent d’être protégées, et ce d’une manière extrême lorsque nous travaillons avec des “catégories spéciales de données personnelles” (« les données sensibles »). On entend par données sensibles toutes les informations qui révèlent l’origine ethnique ou raciale, les opinions politiques, les convictions religieuses ou philosophiques, l’affiliation syndicale, ainsi que les données génétiques, les données biométriques destinées à identifier de manière univoque une personne physique, celles relatives à la santé ou à la vie ou à l’orientation sexuelle d’une personne physique.

Le traitement des données fait référence à toute opération ou ensemble d’opérations effectuées sur des données personnelles ou des ensembles de données personnelles, que ce soit au travers de moyens automatisés ou non (collecte, organisation, consultation, utilisation, conservation, modification, destruction…). Le simple fait de stocker des données dans un ordinateur est considéré comme un traitement.

La norme classe en deux catégories les entreprises qui traitent des données personnelles, qu’elles aient leur siège situé dans l’Union européenne, ou qu’elles adressent leurs services à des citoyens européens, selon le rôle qu’elles accomplissent :

  1. Responsables du traitement, lorsqu’elles sont en mesure de prendre des décisions sur les données qui seront traitées, à quelles fins, et avec quels moyens.
  2. En charge du traitement, lorsqu’elles traitent simplement des données au nom et pour le compte d’un tiers (la personne responsable), par exemple pour lui fournir un service.

Principes du RGPD

Ⓒ 2018 | All rights reserved

Règlement Géneral

de Protection de Données

Qu'est ce que le RGPD ?

RGPD

Règlement Géneral

de Protection de Données

Qu'est ce que le RGPD ?

The General Data Protection Regulation (GDPR) is the new legislation that will govern the processing of personal data in Europe and which replaces national statutes such as the Spanish Data Protection Organic Law (LOPD in its Spanish initials). The intention of the GDPR is that data protection be applied in a uniform manner in all EU Member States, while attempting to adapt the law to technological advances. Although it came into force on 25 May 2016, its application will be effective and obligatory from 25 May 2018.

 

The GDPR involves a complete change of focus, a switch from a model based on the drafting of security clauses and documents to one where the key word is accountability, which goes beyond mere compliance with the law. In addition, companies have to create procedures to comply with their obligations and be able to show how these are applied in practice.

 

Ⓒ 2018 | All rights reserved