Le r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es “RGPD (ou GDPR), adopt\u00e9 par le Parlement europ\u00e9en et le Conseil en avril 2016, remplacera la directive 95\/46\/ce sur la protection des donn\u00e9es au printemps 2018 en tant que loi principale r\u00e9gissant la mani\u00e8re dont les entreprises prot\u00e8gent les donn\u00e9es personnelles des citoyens europ\u00e9ens. Les entreprises qui se conforment d\u00e9j\u00e0 \u00e0 la directive doivent s’assurer qu’elles se conforment \u00e9galement aux nouvelles exigences du RGPD avant son entr\u00e9e en vigueur le 25 mai 2018. Les entreprises qui ne se conforment pas au RGPD avant l’\u00e9ch\u00e9ance s’exposent \u00e0 des p\u00e9nalit\u00e9s et \u00e0 des amendes s\u00e9v\u00e8res.<\/p>\n
Les exigences du GDPR s’appliquent \u00e0 chaque \u00c9tat membre de l’Union europ\u00e9enne et visent \u00e0 assurer une protection plus coh\u00e9rente des donn\u00e9es des consommateurs et des donn\u00e9es \u00e0 caract\u00e8re personnel dans tous les pays de l’UE<\/strong>. En termes simples, le RGPD impose un ensemble de normes de base aux entreprises qui traitent les donn\u00e9es des citoyens de l’UE afin de mieux prot\u00e9ger le traitement et la circulation des donn\u00e9es personnelles des citoyens<\/strong>.<\/p>\n <\/p>\n Le but du RGPD est d’imposer une loi uniforme sur la s\u00e9curit\u00e9 des donn\u00e9es \u00e0 tous les membres de l’UE<\/strong>, afin que chaque \u00c9tat membre n’ait plus \u00e0 r\u00e9diger ses propres lois sur la protection des donn\u00e9es et que les lois soient coh\u00e9rentes dans toute l’UE. Outre les membres de l’UE, il est important de noter que toute entreprise qui commercialise des biens ou des services \u00e0 des r\u00e9sidents de l’UE, quelle que soit sa localisation, est soumise au r\u00e8glement. En cons\u00e9quence, le RGPD aura un impact sur les exigences en mati\u00e8re de protection des donn\u00e9es au niveau mondial.<\/p>\n Le RGPD lui-m\u00eame contient 11 chapitres et 91 articles. Voici quelques-uns des chapitres et articles qui ont le plus grand impact potentiel sur les op\u00e9rations de s\u00e9curit\u00e9 :<\/p>\n Articles 17 et 18 –<\/strong> Les articles 17 et 18 du RGPD donnent aux personnes concern\u00e9es un plus grand contr\u00f4le sur les donn\u00e9es \u00e0 caract\u00e8re personnel qui sont trait\u00e9es automatiquement. Il en r\u00e9sulte que les personnes concern\u00e9es peuvent transf\u00e9rer plus facilement leurs donn\u00e9es \u00e0 caract\u00e8re personnel entre prestataires de services (\u00e9galement appel\u00e9 “droit \u00e0 la transf\u00e9rabilit\u00e9”) et qu’elles peuvent demander \u00e0 un responsable du traitement d’effacer leurs donn\u00e9es personnelles dans certaines circonstances (\u00e9galement appel\u00e9 “droit d’effacement”). Par rapport \u00e0 l’ancienne directive sur la protection des donn\u00e9es, le RGPD a alourdi les sanctions<\/strong> en cas de non-respect. Les soci\u00e9t\u00e9s de surveillance ont plus d’autorit\u00e9 que dans la l\u00e9gislation pr\u00e9c\u00e9dente parce que le RGPD \u00e9tablit une norme \u00e0 travers l’UE pour toutes les entreprises qui traitent les donn\u00e9es personnelles des citoyens europ\u00e9ens. Les responsables d\u00e9tiennent des pouvoirs d’enqu\u00eate et de correction et peuvent \u00e9mettre des avertissements pour non-conformit\u00e9, effectuer des v\u00e9rifications pour s’assurer de la conformit\u00e9, exiger des entreprises qu’elles apportent des am\u00e9liorations pr\u00e9cises dans les d\u00e9lais prescrits, ordonner l’effacement de donn\u00e9es et emp\u00eacher les entreprises de transf\u00e9rer des donn\u00e9es \u00e0 d’autres pays. Les responsables du traitement et les sous-traitants des donn\u00e9es sont soumis aux pouvoirs et sanctions des soci\u00e9t\u00e9s de surveillance.<\/p>\n Le RGPD permet \u00e9galement aux autorit\u00e9s de surveillance d’infliger des amendes plus importantes que celles pr\u00e9vues par la directive sur la protection des donn\u00e9es<\/strong> ; les amendes sont d\u00e9termin\u00e9es en fonction des circonstances de chaque cas et l’autorit\u00e9 de surveillance peut choisir d’imposer ses pouvoirs de correction avec ou sans amende. Pour les entreprises qui ne se conforment pas \u00e0 certaines exigences du RGPD, les amendes peuvent aller jusqu’\u00e0 2 % ou 4 % du chiffre d’affaires annuel total<\/strong> mondial ou entre 10 millions et 20 millions d’euros, le montant le plus \u00e9lev\u00e9 \u00e9tant retenu.<\/p>\n Outre les membres de l’UE, il est important de noter que toute entreprise qui commercialise des biens ou des services \u00e0 des r\u00e9sidents de l’UE, quelle que soit sa localisation, est soumise au r\u00e8glement<\/strong>. En se conformant aux exigences du RGPD, les entreprises \u00e9viteront de payer des p\u00e9nalit\u00e9s co\u00fbteuses tout en am\u00e9liorant la protection des donn\u00e9es et la confiance des clients.<\/p>\n Maintenant que cette r\u00e9glementation sur la protection de la vie priv\u00e9e est en vigueur, les sites Web qui ne sont pas conformes seront inaccessibles dans les \u00c9tats europ\u00e9ens. Si le site de votre organisation recueille des donn\u00e9es r\u00e9glement\u00e9es aupr\u00e8s d’utilisateurs europ\u00e9ens, il est susceptible de se conformer au RGPD.<\/p>\n
\nVoici quelques-unes des principales exigences en mati\u00e8re de protection de la vie priv\u00e9e et des donn\u00e9es du RDPPG :<\/p>\n\n
QUI EST ASSUJETTI AU RGPD ?<\/h2>\n
EXIGENCES DU R\u00c8GLEMENT G\u00c9N\u00c9RAL 2018 SUR LA PROTECTION DES DONN\u00c9ES<\/h3>\n
\nArticles 23 et 30 –<\/strong> Les articles 23 et 30 exigent des entreprises qu’elles mettent en \u0153uvre des mesures raisonnables de protection des donn\u00e9es afin de prot\u00e9ger les donn\u00e9es personnelles et la vie priv\u00e9e des consommateurs contre toute perte ou exposition.
\nArticles 31 et 32 –<\/strong> Les notifications d’atteintes \u00e0 la protection des donn\u00e9es jouent un r\u00f4le important dans le texte du GDPR. L’article 31 pr\u00e9cise les exigences applicables aux violations individuelles des donn\u00e9es : les responsables du traitement doivent informer les autorit\u00e9s de contr\u00f4le d’une violation des donn\u00e9es \u00e0 caract\u00e8re personnel dans les 72 heures suivant la connaissance de la violation et doivent fournir des d\u00e9tails sp\u00e9cifiques sur la violation, tels que la nature de celle-ci et le nombre approximatif de personnes concern\u00e9es. L’article 32 fait obligation aux responsables du traitement d’informer les personnes concern\u00e9es le plus rapidement possible des violations de leurs droits et libert\u00e9s lorsque celles-ci pr\u00e9sentent un risque \u00e9lev\u00e9.
\nArticles 33 et 33 bis –<\/strong> Les articles 33 et 33 bis exigent des entreprises qu’elles proc\u00e8dent \u00e0 des \u00e9valuations d’impact sur la protection des donn\u00e9es afin d’identifier les risques pour les donn\u00e9es des consommateurs et \u00e0 des examens de conformit\u00e9 de la protection des donn\u00e9es pour s’assurer que ces risques sont trait\u00e9s.
\nArticle 35 –<\/strong> L’article 35 exige que certaines entreprises d\u00e9signent des d\u00e9l\u00e9gu\u00e9s \u00e0 la protection des donn\u00e9es. En particulier, toute entreprise qui traite des donn\u00e9es r\u00e9v\u00e9lant les donn\u00e9es g\u00e9n\u00e9tiques d’un sujet, sa sant\u00e9, son origine raciale ou ethnique, ses croyances religieuses, etc. doit d\u00e9signer un responsable de la protection des donn\u00e9es ; ce dernier sert \u00e0 conseiller les entreprises sur le respect de la r\u00e9glementation et sert de point de contact. Certaines entreprises peuvent \u00eatre assujetties \u00e0 cet aspect\u00a0 simplement parce qu’elles recueillent des renseignements personnels sur leurs employ\u00e9s dans le cadre des processus de ressources humaines.
\nArticles 36 et 37 –<\/strong> Les articles 36 et 37 d\u00e9crivent le poste de d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es et les responsabilit\u00e9s qui lui incombent pour assurer le respect des r\u00e8gles du RGPD, ainsi que pour rendre compte aux autorit\u00e9s de contr\u00f4le et aux personnes concern\u00e9es.
\nArticle 45 –<\/strong> L’article 45 \u00e9tend les exigences en mati\u00e8re de protection des donn\u00e9es aux entreprises internationales qui collectent ou traitent les donn\u00e9es \u00e0 caract\u00e8re personnel des citoyens de l’UE, en les soumettant aux m\u00eames exigences et sanctions que les entreprises \u00e9tablies dans l’UE.
\nArticle 79 –<\/strong> L’article 79 \u00e9nonce les sanctions en cas de non-conformit\u00e9, qui peuvent aller jusqu’\u00e0 4 % des recettes annuelles globales de l’entreprise en infraction, selon la nature de l’infraction.<\/p>\nAPPLICATION ET SANCTIONS EN CAS DE NON-CONFORMIT\u00c9<\/h2>\n
LE RGPD S’APPLIQUE \u00c0 TOUS CEUX QUI ATTEIGNENT LES CITOYENS EUROP\u00c9ENS<\/h2>\n