Règlement Général sur la Protection des Données

Le Règlement européen du 27 avril 2016 relatif aux données à caractère personnel est entré en application le 25 mai 2018.

Son objectif est de renforcer la protection des personnes sur le territoire de l'Union européenne. Il définit et précise un certain nombre de droits reconnus aux personnes physiques dont les données à caractère personnel font l'objet d’un traitement. Il prévoit également un certain nombre d'obligations à la charge des entreprises.

RGPD
1. Un champ d'application étendu

Depuis le 25 mai 2018, toute société, dès lors qu'elle offre des biens ou des services aux personnes concernées par le traitement sur l'ensemble du territoire de l'Union Européenne, doit appliquer le RGPD.
2. Le principe d'accountability et la fin des obligations déclaratives

Le principe d'accountability est l'un des principes fondamentaux du RGPD. Il désigne l'obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Ce principe impose aux entreprises de fournir aux autorités de contrôle (en France, la Commission Nationale Informatique et Libertés) la documentation établissant la conformité au Règlement.

Les traitements courants doivent désormais figurer dans un registre et n'ont plus à être déclarés à la CNIL.
3. L'alourdissement des sanctions

Le non-respect des obligations du Règlement est sanctionné par des amendes administratives délivrées par la Commission Nationale Informatique et Libertés. Ces amendes ont été considérablement alourdies et peuvent s'élever jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial (le montant le plus important sera retenu).

La CNIL contrôle l'application du RGPD et a prononcé en janvier 2019 une sanction de 50 millions d'euros à l'encontre de Google LLC.
4. Le renforcement des droits des personnes concernées par le traitement

De nouveaux droits sont reconnus pour les personnes concernées par le traitement.

Il s'agit par exemple du droit à la portabilité, du droit à l'oubli et du droit à la limitation. En cas de violation de données, des procédures doivent également être définies pour prévenir la CNIL et les personnes concernées.
5. Un nouvel acteur : le Délégué à la protection des données ou DPO (Data Protection Officer)

Le DPO garantit la conformité de son organisation à la loi Informatique et libertés.

Sa désignation, obligatoire dans certains cas (*), est l'une des mesures majeures du Règlement. Il prend la suite du Correspondant Informatique et Libertés mais ses attributions sont plus larges.

Les entreprises désireuses de s'engager en faveur du respect de la vie privée des personnes peuvent également procéder à la désignation facultative d'un DPO.

Le DPO pilote en continu la conformité de son organisation. Sa nomination doit répondre à des conditions d'intégrité et d'éthique professionnelle.

(*)
Pour les autorités ou les organismes publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
6. De nouvelles obligations pour les sous-traitants

Jusqu'au 25 mai 2018, seul le responsable de traitement – qui décide des finalités et moyens du traitement – était responsable.

Le RGPD prévoit qu'un sous-traitant est responsable par principe et le soumet à des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability.

Il a une obligation de conseil relative concernant certains points du règlement (failles, sécurité, destruction des données, contribution aux audits).