Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Cette nouvelle réglementation européenne a pour objectif de renforcer la protection des données personnelles et de responsabiliser les entreprises en matière de traitement et de sécurisation des données. Découvrez dans cet article les nouvelles responsabilités des sociétés découlant du RGPD, ainsi que les implications concrètes pour leur mise en conformité.
Les principes fondamentaux du RGPD
Tout d’abord, il est important de rappeler les principes fondamentaux du RGPD, qui guident l’ensemble des obligations imposées aux entreprises :
- La licéité, la loyauté et la transparence : toute collecte et traitement de données personnelles doivent être effectués de manière licite, loyale et transparente vis-à-vis des personnes concernées.
- La limitation des finalités : les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes, et ne peuvent être traitées ultérieurement d’une manière incompatible avec ces finalités.
- L’économie de données : seules les données strictement nécessaires à la réalisation des finalités poursuivies peuvent être collectées.
- L’exactitude des données : les entreprises ont l’obligation de veiller à ce que les données qu’elles traitent soient exactes et, si nécessaire, mises à jour.
- La limitation de la conservation : les données ne peuvent être conservées que pendant une durée limitée, en fonction de la finalité pour laquelle elles ont été collectées.
- La sécurité et la confidentialité : les entreprises doivent mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données qu’elles traitent.
- La responsabilisation : les entreprises sont tenues de démontrer leur conformité aux principes du RGPD, notamment en mettant en place des politiques internes et des mécanismes de contrôle adéquats.
Nouvelles obligations pour les entreprises
Le RGPD introduit de nouvelles obligations pour les entreprises qui collectent et traitent des données personnelles. Parmi ces obligations figurent :
- L’établissement d’un registre des traitements : les entreprises doivent tenir un registre des activités de traitement qu’elles effectuent, incluant notamment la description des finalités du traitement, les catégories de données concernées et les mesures de sécurité mises en place. Ce registre doit être tenu à jour régulièrement et être mis à disposition de l’autorité compétente sur demande.
- La désignation d’un délégué à la protection des données (DPO) : certaines entreprises sont tenues de désigner un DPO, dont le rôle est d’assurer le respect du RGPD au sein de l’entreprise et d’être l’interlocuteur privilégié des autorités de contrôle. Le DPO doit notamment être consulté pour toute question relative à la protection des données et peut être sollicité par les personnes concernées pour exercer leurs droits.
- La réalisation d’études d’impact sur la protection des données (EIPD) : lorsque le traitement de données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, les entreprises doivent réaliser une EIPD afin d’évaluer les risques liés au traitement et de déterminer les mesures à mettre en place pour y remédier.
- La notification des violations de données : en cas de violation de données personnelles (perte, destruction, divulgation non autorisée…), les entreprises sont tenues d’informer l’autorité compétente dans un délai de 72 heures après en avoir pris connaissance. Les personnes concernées doivent également être informées si la violation présente un risque élevé pour leurs droits et libertés.
Les droits renforcés des personnes concernées
Le RGPD renforce également les droits des personnes dont les données sont collectées et traitées. Les entreprises doivent ainsi veiller à respecter :
- Le droit à l’information : les personnes concernées doivent être informées de manière claire, concise et compréhensible sur les traitements effectués, leur finalité, la durée de conservation des données et leurs droits.
- Le droit d’accès : les personnes ont le droit d’obtenir la confirmation que leurs données sont bien traitées, ainsi que l’accès à ces données et aux informations relatives au traitement.
- Le droit de rectification : les personnes ont le droit d’obtenir la rectification des données inexactes ou incomplètes les concernant.
- Le droit à l’effacement (« droit à l’oubli ») : les personnes peuvent demander l’effacement de leurs données dans certaines situations, notamment lorsque le traitement n’est plus nécessaire aux fins pour lesquelles les données ont été collectées.
- Le droit à la limitation du traitement : les personnes peuvent demander la limitation du traitement de leurs données dans certains cas, par exemple lorsque l’exactitude des données est contestée.
- Le droit à la portabilité : les personnes ont le droit de recevoir les données qu’elles ont fournies dans un format structuré, couramment utilisé et lisible par machine, et de transmettre ces données à un autre responsable de traitement sans entrave.
- Le droit d’opposition : les personnes ont le droit de s’opposer au traitement de leurs données pour des raisons tenant à leur situation particulière, sauf si le responsable du traitement peut démontrer qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur leurs droits et libertés.
Afin de garantir le respect de ces droits, les entreprises doivent mettre en place des procédures internes permettant de répondre efficacement aux demandes des personnes concernées. Elles doivent également être en mesure de prouver leur conformité avec le RGPD en cas de contrôle par l’autorité compétente.
Le respect du RGPD est donc un enjeu majeur pour les entreprises, qui doivent adapter leurs pratiques et mettre en place des mécanismes internes de contrôle et de gestion des données personnelles. Les sanctions encourues en cas de non-conformité peuvent être très importantes, puisque le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Il est donc essentiel pour les entreprises de prendre les mesures nécessaires pour se conformer au RGPD et ainsi protéger les données personnelles qu’elles traitent.
Soyez le premier à commenter