vous êtes ici :///Règlement Général sur la Protection des Données : de nouvelles avancées pour la protection des données personnelles

Règlement Général sur la Protection des Données : de nouvelles avancées pour la protection des données personnelles

Avec la multiplication des données sur Internet, s’adapter aux réalités du numérique devient une priorité pour les autorités publiques. Le 25 mai 2018, entrera en vigueur le nouveau règlement européen sur la protection des données personnelles – RGPD. Il concerne tous les acteurs, économiques ou sociaux, qui collectent, traitent et stockent des données à caractère personnel.

Ce règlement a pour objectif de :

  • Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

 

Un même cadre juridique pour tous les acteurs de traitements de données

La réforme concerne tous les acteurs traitants des données à caractère personnel établis sur le territoire de l’Union européenne (UE). Les obligations imposées jusqu’alors aux responsables de traitement sont désormais étendues aux sous-traitants.

Le droit s’exerce chaque fois qu’une personne résidant en Europe est susceptible d’être touchée par un dommage et/ou une perte liés à un traitement de ses données personnelles, y compris sur Internet.

 

Une autorité de contrôle « Chef de file »

Il s’agit de l’un des projets majeurs de cette réforme. Pour veiller à l’application cohérente du RGPD, les Etats membres doivent nommer une ou plusieurs autorités de contrôle indépendantes.

L’autorité « chef de file » devient alors l’interlocuteur principal du responsable de traitement ou du sous-traitant pour les traitements transnationaux effectués. L’autorité principale du responsable de traitement sera celle du lieu de son établissement sauf si les décisions concernant les finalités et les modalités de traitement sont prises dans un autre établissement de l’UE.

 

Plusieurs cas possibles en matière de traitement des données

L’organisme se contente de traiter des données sur un seul et même territoire ; dans ce cas, le « chef de file » est l’autorité de contrôle du lieu de son établissement.

Dans le cas des traitements transfrontaliers, Les autorités de protection des données des différents états concernés sont considérées comme juridiquement compétentes si :

  • Un organisme met en œuvre un traitement et une gestion des données et possède plusieurs établissements dans plusieurs états membres.
  • Un organisme est établi dans un seul état membre de l’UE mais propose des solutions de gestion de données susceptible de concerner plusieurs citoyens européens.

Pour veiller à la cohérence du RGPD sur l’ensemble du territoire, l’autorité « chef de file » et les autorités de contrôle concernées, les « one-stop-shop », doivent coopérer et prendre des décisions conjointes.

 

Le comité européen de la protection des données (CEPD)

Il regroupe les autorités de protection nationales et a pour mission de veiller à l’application du règlement au travers de lignes directrices, de recommandations et d’avis.

 

Des droits renforcés pour les personnes concernées

Le RGPD renforce les droits déjà existants, notamment en matière de consentement et de transparence. La personne dont les données sont traitées doit disposer obligatoirement d’une information claire, intelligible et facilement accessible.

Il introduit de nouveaux droits :

  • droit d’accès et de rectification
  • droit à l’oubli
  • droit à la portabilité des données
  • droit de réparation des dommages matériel ou moral
  • droit d’effacement
  • doit à la limitation du traitement
  • droit d’opposition
  • principe des actions collectives
  • conditions particulières du traitement des données pour les mineurs moins de 16 ans

 

Pour une meilleure transparence et sécurisation des données

Le RGPD repose sur le principe dit de « minimisation » ou « privacy by design ». Cela signifie concrètement que les organismes doivent veiller au respect de la protection des données personnelles, dès le début de la conception des systèmes d’information en mettant en place les mesures protectrices et de limitation.

Concernant les données sensibles, le responsable de traitement devra mener une étude d’impact sur la vie privée (EIVP) en faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.

Les établissements qui traitent les données doivent garantir la sécurité et la confidentialité des données personnelles. Chaque responsable ou sous-traitant doit nommer un responsable « le délégué à la protection des données. Dès qu’il y a eu violation, l’organisme doit avertir l’autorité de contrôle dans les 72h et si le risque s’avère élevé, la personne concernée.

Les responsables de traitement et les sous-traitants encourent des sanctions administratives importantes en cas de non-respect des dispositions du règlement.

2018-01-24T19:14:20+00:0023 janvier 2018|Catégories : Fiches thématiques, Innovation|Mots-clés : , , , |