RGPD, J-20…(1/2)

Que les choses soient claires: le cœur de la nouvelle réglementation dite “RGPD” porte sur la protection des données personnelles en tant que droit fondamental énoncé dans la Charte des droits fondamentaux de l’Union européenne. L’UE a estimé qu’il s’agit d’un de ces droits qui doit être constamment souligné, comme on peut le lire dans le préambule du règlement :

“Le traitement des données personnelles doit être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité”.

Les législateurs européens ont également estimé que le cadre existant n’offrait pas ce niveau de protection ; ils ont donc décidé de produire de nouvelles règles et, après quatre ans de travail, le règlement est entré en vigueur le 24 mai 2016. Le RGPD s’appliquera à partir du 25 mai 2018 et fixera un nouveau cadre pour la protection des données personnelles. Avec ce règlement, la Commission européenne vise à harmoniser et à renforcer la protection des données pour tous les individus au sein de l’Union européenne. Un cadre organisationnel formel sera mis en place au sein de tous les États membres pour faire appliquer l’adoption du règlement. Il ne s’agit pas seulement de sécuriser ou de stocker des données et des informations, mais de prendre soin des données et des informations relatives à des individus. Les entreprises devront observer l’environnement réglementaire, l’environnement technique et l’environnement lié aux processus pour vraiment gérer les données personnelles. Enfin, les entreprises devront réagir aux nouvelles demandes à venir des personnes concernées.

On peut dire sans risque de se tromper que le RGPD est l’une des initiatives réglementaires les plus exigeantes de tous les temps, car elle exige une gestion approfondie des données, une réévaluation complète des positions de risque, une augmentation de la maturité des procédures, des systèmes doivent être conformes par défaut et par conception, et il faut prouver la conformité avec la réglementation. Parce que si ce n’est pas le cas, les conséquences seront graves, comme nous le verrons en détail plus loin.

La protection des données personnelles est donc à la fois un défi et un enjeu de taille pour les entreprises. Le nouveau cadre réglementaire est destiné à renforcer les droits des personnes et responsabiliser les entreprises.

Les bases

Tous les systèmes et procédures qui traitent des données personnelles sont au cœur du RGPD. La définition des données à caractère personnel dans divers contextes peut varier considérablement et, en cas de doute, il est préférable de supposer que les données sont personnelles plutôt que non. Comme certaines données sont évidemment personnelles, d’autres peuvent sembler ne l’être qu’au deuxième coup d’œil. Par exemple, les informations sur les biens comme les adresses MAC ou IMEI sont également définies comme des données personnelles. La situation devient encore plus compliquée si l’on considère que les données peuvent être traitées différemment dans des contextes différents.
Le RGPD ajoute également une toute nouvelle dimension en termes d’application territoriale. Il affectera toute entreprise faisant des affaires dans l’UE et s’appliquera à toutes les données personnelles des personnes physiques qui sont citoyens ou résidents de l’Union européenne, quel que soit l’endroit où se trouve le responsable du traitement ou le sous-traitant. Il est donc important de reconnaître que des personnes extérieures à l’UE peuvent également appartenir à ce régime. RGPD article 1

Le règlement vise également à protéger les données tout au long de leur cycle de vie : de la collecte, au traitement, au stockage, aux mises à jour, aux transferts, aux archives, jusqu’à leur effacement. Toutes les opérations sur les données personnelles sont donc concernées.

Les principes directeurs du RGPD applicables à tout traitement de données personnelles sont les suivants :
– Licéité, loyauté et transparence
– Limitation des objectifs du traitement: finalités déterminées, explicites et légitimes
– Limitation de la conservation
– Exactitude et qualité des données
– Minimisation des données
– Responsabilisation du responsable du traitement
– Sécurité des données
– respect des droits des personnes concernées
– Protection des données par conception et par défaut
– Encadrement des flux trans-frontières de données hors UE

Pour être en conformité, les entreprises doivent être conscientes qu’elles doivent avoir une grande transparence sur le lieu de stockage des données personnelles, les flux des données personnelles, les acteurs qui les traitent et qui les utilisent. Au regard du principe de responsabilisation, les responsables du traitement seront garants du respect de ces principes et devront être en mesure de démontrer qu’ils sont respectés.

Une application stricte du règlement

L’une des principales conclusions du processus législatif a été que l’affirmation de la protection des données personnelles et son application ont été relativement faibles dans le passé. Avec ce règlement, les responsabilités sont renforcées, notamment, par des pénalités pour les entreprises ainsi que pour les personnes en charge; le « bâton » que l’UE va utiliser contre les contrevenants a deux objectifs : des amendes administratives substantielles et une base élargie pour les réclamations.

Amendes administratives
La probabilité d’amendes administratives a considérablement augmenté avec le RGPD. Elles peuvent atteindre jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires annuel mondial du contrevenant. Cependant, le règlement déclare explicitement que l’on peut réduire les amendes si les efforts en matière de protection des données sont compréhensibles, évidents, constructifs et proactifs. Les personnes concernées peuvent également présenter une réclamation pour perte non pécuniaire et faire appel à un syndicat pour intenter une action en leur nom. Les pénalités de ces réclamations s’ajoutent aux amendes administratives et s’ajouteront au risque financier. La charge de la preuve du respect du RGPD incombe entièrement au responsable du traitement des données personnelles contre lequel une plainte a été déposée. Il appartient au responsable du traitement d’établir un cadre contractuel approprié avec ses sous-traitants qui traitent, pour son compte, les données personnelles afin de les responsabiliser quant au respect des règles du RGPD.

Extension de la base des demandes d’indemnisation
L’applicabilité des revendications est également élargie. Chaque responsable du traitement et/ou sous-traitant de données personnelles peut être rendu responsable en cas de dommages. La portée de cette responsabilité couvre l’ensemble des dommages. Si plusieurs intermédiaires sont impliqués dans une réclamation, celui qui a entièrement indemnisé le dommage peut réclamer une indemnisation aux autres.

Conclusion

S’il y avait eu des doutes sur l’ampleur et l’impact du RGPD, ceux-ci sont maintenant évacués. Cependant, jusqu’à présent, nous n’avons fait qu’effleurer la surface. Dans la seconde partie, nous nous pencherons sur les détails des nouvelles règles. Mais peut-être plus important encore, nous démontrerons aussi comment une telle initiative réglementaire ambitieuse peut aboutir pour une entreprise à réaliser des économies de coûts ainsi qu’à développer un avantage concurrentiel.

La rédaction
La rédaction
La rédaction est composée de plusieurs collaborateurs du Groupe Altares qui sont spécialisés dans leurs domaines respectifs (data science, data marketing, data intelligence, etc.) et qui partagent l'envie de faire part de leur passion de la Data à nos lecteurs.

Vous aimerez aussi...

X