Protection des données : ce que vos clients doivent savoir sur le nouveau règlement européen

RGPD

De nouvelles lignes directives pour le Règlement Général sur la Protection des Données personnelles (RGPD) seront établies par les autorités de protection européennes d’ici la fin de l’année 2016. Les professions du Chiffre et du Droit se doivent dès à présent d’expliquer à leurs clients les impacts de ce nouveau règlement.

Le RGPD (publié le 4 mai dernier et applicable en mai 2018) a été pensé pour permettre à l’Europe de s’adapter aux nouvelles réalités du numérique. Il simplifie les formalités administratives. Il permet aux entreprises de disposer d’un interlocuteur unique auprès des autorités de protection des données européennes. Il prévoit de nouveaux outils tels que les codes de conduite ou la certification. Les mesures à mettre en place pourront être modulées en fonction du niveau de risque sur les droits et libertés des personnes.

Quid des principaux changements auxquels doivent s’attendre les entreprises

  • De nouveaux investissements en perspective – Le règlement oblige la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Il encourage clairement le chiffrement des données, l’utilisation d’outils sophistiqués de détection et de notification des fuites, le recours à des mécanismes de certification démontrant que les entreprises respectent la législation sur la protection des données.
  • Un nouveau métier : le Data Protection Officer – Selon l’article 37 du Règlement 2016/679, sa désignation est obligatoire pour les organismes du secteur public et pour ceux du secteur privé, uniquement lorsque les « activités de base » de l’organisme (ou du sous-traitant) sont liées au traitement des données consistant en des opérations exigeant « un suivi régulier et systématique à grande échelle des personnes » ou consistant en des traitements « à grande échelle » de données sensibles ou à risque.
  • Des obligations étendues aux sous-traitants – Le RGPD étend aux sous-traitants une large partie des obligations imposées aux responsables de traitement. Ces nouvelles obligations constituent par conséquent une évolution importante pour de nombreux acteurs économiques, dont les éditeurs de sites internet, de réseaux sociaux, les prestataires de service type SaaS ou encore les hébergeurs.
  •  Les sanctions encourues – En cas de non-conformité et de méconnaissance de ce règlement, les entreprises concernées pourront récolter de sévères sanctions administratives, telles que la mise en demeure de l’entreprise, suspension des flux de données, la rectification, la limitation ou l’effacement des données. S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise, à 10 ou 20 millions d’euros pour les autres organismes.

Afin de faciliter la mise en conformité des traitements de données en cours, la CNIL a mis en ligne un dossier complet sur les nouveautés du règlement européen.

Sources utilisées :

Site dédié de la CNIL

Village-Justice.com, 11/10/2016 – Le nouveau règlement européen sur la protection des données personnelles : quels impacts ? Par Grégory Mathé, Avocat.

Les Echos.Fr, 18/10/2016 – Protection des données : ce que toutes les entreprises devraient savoir

Alain-Bensoussan.com, 23/09/2016

Lire également l’article sur la cybersécurité

20 octobre 2016