Un peu d'histoire
Afin que soient assurées la protection et la libre circulation des données à caractère personnel au sein de la Communauté européenne, une directive en 1995 avait déjà cherché à harmoniser en la matière les législations des États membres. Les innovations technologiques de ces vingt dernières années et la croissance de l’économie numérique ont rendu indispensable une mise à jour du texte européen.
Le texte issu de cette volonté constitue le règlement (UE) 2016/679 du 27 Avril 2016 relatif à « la protection des personnes physiques à l’égard des données à caractère personnel et à la libre circulation de ces données », applicable dès le 25 Mai 2018.
Quelles sont les entreprises concernées par cette nouvelle législation européenne ?
Les entreprises concernées par cette législation sont celles qui dans le cadre de leur activité sont amenées à collecter des informations personnelles notamment portant sur des données biométriques, données génétiques, sur les infractions, condamnation et mesures de sûreté, sur les numéros de Sécurité Sociale, …
Que signifie le RGPD pour les entreprises ?
L’une des innovations essentielles du RGPD consiste à privilégier l’autocontrôle de l’entreprise responsable du traitement et à réduire la place des contrôles préalables relevant de l’autorité publique.
Ainsi, devrait disparaître à compter du 25 Mai 2018, l’obligation de déclaration des traitements à la Cnil, avec la mise en place de la fonction de « délégué à la protection des données » (DPD), également appelé Data Protection Officer (DPO).
La nouvelle règlementation amène des changements spécifiques pour les entreprises, notamment :
- Introduction d’amendes significatives : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise ou de la maison mère.
- Nomination d’un Data Protection Officer (DPO) : obligatoire pour les organismes privés ou publics dont les acticités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées. Le DPO peut être interne ou externe, il devra informer et conseiller le responsable du traitement qui procède au traitement sur ses obligations et ses droits. Il veille au respect du RGPD.
- Obligation de création et de maintenance d’un registre des traitements : un registre détaillé des traitements doit être conservé par le responsable du traitement, et pourra être mis à tout moment à la disposition des autorités de contrôle.
- Le droit à l’oubli : ou « droit à l’effacement », si un individu ne souhaite plus que ses données soient traitées et qu’il n’y a aucun motif légitime de les conserver, les données doivent être supprimées. Il incombe aux contrôleurs des données de prouver qu’ils doivent conserver les données.
Bon à savoir : Le RGPD subordonne la licéité d’un traitement de données personnelles à la condition principale que la personne concernée ait consenti au traitement de telles données. Cela implique que la personne concernée doit avoir manifesté sa volonté de façon libre, claire et non équivoque.
Certaines données dites « sensibles » ne peuvent pas faire l’objet d’un traitement, par exemple les données relevant de l’origine raciale ou ethnique des personnes, leurs opinions politiques ou religieuses, appartenance syndicale, …
Contactez notre service juridique pour savoir si vous êtes concerné par ces nouvelles dispositions
