- Droits des personnes
- Procédures internes
- Autorités de contrôle
- Portée, responsabilité et sanctions
Droits des personnes
Consentement
Lorsqu'une personne s'apprête à soumettre ses informations personnelles, le responsable du traitement des données (en général, une entreprise) doit veiller à obtenir son consentement. Le RGDP durcit les normes de divulgation lors de l'obtention du consentement, qui doit se « manifester de façon libre, spécifique, éclairée et univoque », et exige que les responsables du traitement utilisent des termes juridiques « clairs et simples » qui se « distinguent clairement » d'autres questions. Les responsables du traitement doivent également établir que leurs processus sont conformes et suivis dans chaque cas. Auparavant, en vertu de la DPD, le consentement pouvait être déduit d'une action ou d'une inaction lorsque cette action ou inaction signifiait clairement un consentement. Par conséquent, la Directive a laissé la possibilité de mettre en place un mécanisme de retrait. Toutefois, cela changera avec le RGPD qui exige que la personne concernée donne son accord par « une déclaration ou par un acte positif clair ».
En bref, le consentement de votre client ne peut être forcé, et ce dernier doit être conscient qu'il accepte le traitement de ses données personnelles. De plus, il doit savoir exactement ce à quoi il consent et il doit être informé à l'avance de son droit à retirer ce consentement. Le consentement doit être obtenu par une indication positive, c'est-à-dire qu'il ne peut être déduit du silence, de cases précochées ou de l'inactivité. Cela signifie qu'il sera plus important à l'avenir d'informer l'utilisateur pendant le processus d'inscription.
Nouveaux droits pour les personnes
Le règlement intègre aussi deux nouveaux droits pour les personnes concernées : un « droit à l'oubli » exigeant des responsables du traitement qu'ils informent les destinataires de telles demandes d'effacement, et un « droit à la portabilité des données » qui permet aux personnes concernées de demander une copie de leurs données dans un format couramment utilisé. Grâce à ces deux droits, il sera désormais plus facile pour les utilisateurs de demander que les informations stockées soient supprimées ou que les informations collectées soient partagées avec eux.
Demandes d'accès
Les personnes concernées ont toujours eu le droit de demander à accéder à leurs données. Le RGPD renforce ce droit. Dans la plupart des cas, vous ne pourrez faire payer le traitement d'une demande d'accès, sauf si vous êtes en mesure de prouver que le coût de cette demande sera excessif. De plus, le délai de traitement d'une demande d'accès diminuera considérablement par rapport au délai actuel de 40 jours. Dans certains cas, les entreprises peuvent refuser l'accès à des données, lorsque la demande est jugée infondée ou abusive par exemple. Toutefois, les entreprises devront définir des clauses et des procédures de refus claires, et démontrer en quoi la demande répond à ces critères de refus.
Procédures internes
Protection des données dès la conception et analyse d'impact relative à la protection des données
Plusieurs nouveaux principes sont introduits pour les entreprises qui gèrent des données personnelles, y compris l'obligation d'intégrer la confidentialité des données « dès la conception » lors du développement de nouveaux systèmes, ainsi que l'obligation d'effectuer une analyse d'impact relative à la protection des données lorsque les données sont traitées à l'aide de « nouvelles technologies » ou de manière risquée. Une analyse d'impact relative à la protection des données consiste à systématiquement prendre en compte l'incidence potentielle d'un projet ou d'une initiative sur la vie privée des personnes, de manière à pouvoir détecter d'éventuels problèmes de confidentialité avant qu'ils ne surgissent, et donner ainsi le temps à l'entreprise de trouver un moyen de les atténuer avant de lancer le projet.
Délégué à la protection des données
Sur le plan de la sécurité, le RGPD imposera à de nombreuses entreprises d'avoir un délégué à la protection des données, chargé de superviser les initiatives de conformité. Parmi les entreprises qui ont besoin d'un délégué à la protection des données figurent les administrations publiques, les entreprises dont les activités incluent la surveillance régulière et systématique de personnes concernées à grande échelle, ou les entreprises qui traitent de larges volumes de ce qu'on appelle actuellement les données personnelles sensibles. Même si le RGDP conserve actuellement les méthodes approuvées de la Directive permettant de garantir le « caractère adéquat » du transfert de données personnelles vers un pays tiers (y compris le bouclier de protection et les clauses contractuelles types), les délégués à la protection des données seront également utiles pour superviser les relations du responsable du traitement avec les fournisseurs qui traitent et hébergent des données personnelles, évaluer les pratiques de ces fournisseurs en matière de sécurité et informer ces derniers des demandes effectuées par les personnes concernées.
Contrats et documents relatifs à la confidentialité
Étant donné que le RGPD a pour objectifs ultimes la transparence et l'équité, les responsables du traitement et les sous-traitants devront examiner leurs avis et déclarations de confidentialité et toute autre politique interne en matière de données afin de vérifier leur conformité au RGPD. Si un responsable du traitement fait appel à des fournisseurs tiers pour traiter les données personnelles qu'il contrôle, il devra s'assurer que les contrats signés avec ces sous-traitants ont été mis à jour de manière à prendre en compte les nouvelles dispositions obligatoires énoncées à l'article 28 du règlement. De même, les sous-traitants devront réfléchir aux modifications à apporter aux contrats passés avec leurs clients afin d'être conformes au RGPD à partir de mai 2018.
Autorités de contrôle
Un guichet unique
La tâche des délégués à la protection des données devrait être simplifiée par une nouvelle disposition du RGPD dite du « guichet unique », en vertu de laquelle les entreprises comptant des bureaux dans plusieurs États membres de l'UE disposeront d'une « autorité de contrôle chef de file » agissant comme organisme central d'application, afin d'éviter des incohérences dans les instructions données par plusieurs autorités de contrôle.
Signaler les failles de sécurité
Le RGPD comporte une nouvelle obligation en vertu de laquelle les responsables du traitement doivent avertir l'autorité de contrôle de leur pays de toute violation des données personnelles dans les 72 heures après la découverte de cette violation, sauf si les données étaient anonymes ou chiffrées. En pratique cela signifie que la plupart des violations de données devront être signalées à l'autorité de protection des données. Les failles de sécurité susceptibles de porter préjudice à une personne (un vol de données d'identité ou une violation de la confidentialité par exemple) doivent également être communiquées aux personnes concernées.
Portée, responsabilité et sanctions
Portée
Alors que la législation en vigueur (la Directive de l'UE sur la protection des données personnelles de 1995) s'applique aux entités au sein de l'UE, la portée territoriale du RGPD est bien plus large, car celui-ci s'applique aux entreprises hors de l'UE qui (1) distribuent leurs produits dans l'UE ou (2) s'intéressent au comportement de la population dans l'UE. En d'autres termes, même si votre siège se situe hors de l'UE, tant que vous contrôlez ou traitez des données relatives aux citoyens de l'UE, le RGPD s'applique à vous.
Responsabilité
Ce nouveau concept imposera aux responsables du traitement et aux sous-traitants d'être en mesure de prouver à leur autorité de contrôle locale qu'ils respectent le RGPD. Les processus devront être enregistrés, appliqués et révisés régulièrement. Le personnel devra être formé et des mesures techniques et organisationnelles adaptées devront être prises pour garantir et prouver la conformité au RGPD.
Des sanctions sévères
L'importance des nouvelles dispositions du RGPD est soulignée par les nouvelles sanctions imposées en cas d'infraction. Selon le type d'infraction constatée, les responsables du traitement et les sous-traitants qui géreraient mal des données personnelles ou violeraient les droits des personnes concernées pourraient avoir à payer une amende allant jusqu'à 20 millions d'euros, ou égale à 4 % de leur chiffre d'affaires annuel global (la somme la plus importante étant retenue).