Le règlement général sur la protection des données “RGPD (ou GDPR), adopté par le Parlement européen et le Conseil en avril 2016, remplacera la directive 95/46/ce sur la protection des données au printemps 2018 en tant que loi principale régissant la manière dont les entreprises protègent les données personnelles des citoyens européens. Les entreprises qui se conforment déjà à la directive doivent s’assurer qu’elles se conforment également aux nouvelles exigences du RGPD avant son entrée en vigueur le 25 mai 2018. Les entreprises qui ne se conforment pas au RGPD avant l’échéance s’exposent à des pénalités et à des amendes sévères.
Les exigences du GDPR s’appliquent à chaque État membre de l’Union européenne et visent à assurer une protection plus cohérente des données des consommateurs et des données à caractère personnel dans tous les pays de l’UE.
Voici quelques-unes des principales exigences en matière de protection de la vie privée et des données du RDPPG :
- Exiger le consentement des personnes concernées pour le traitement des données
- Anonymisation des données recueillies pour protéger la vie privée
- Envoi d’avis d’atteinte à la protection des données
- Gérer en toute sécurité le transfert de données
- Exiger de certaines entreprises qu’elles nomment un responsable de la protection des données chargé de veiller au respect des règles du RGPD
En termes simples, le RGPD impose un ensemble de normes de base aux entreprises qui traitent les données des citoyens de l’UE afin de mieux protéger le traitement et la circulation des données personnelles des citoyens.
QUI EST ASSUJETTI AU RGPD ?
Le but du RGPD est d’imposer une loi uniforme sur la sécurité des données à tous les membres de l’UE, afin que chaque État membre n’ait plus à rédiger ses propres lois sur la protection des données et que les lois soient cohérentes dans toute l’UE. Outre les membres de l’UE, il est important de noter que toute entreprise qui commercialise des biens ou des services à des résidents de l’UE, quelle que soit sa localisation, est soumise au règlement. En conséquence, le RGPD aura un impact sur les exigences en matière de protection des données au niveau mondial.
EXIGENCES DU RÈGLEMENT GÉNÉRAL 2018 SUR LA PROTECTION DES DONNÉES
Le RGPD lui-même contient 11 chapitres et 91 articles. Voici quelques-uns des chapitres et articles qui ont le plus grand impact potentiel sur les opérations de sécurité :
Articles 17 et 18 – Les articles 17 et 18 du RGPD donnent aux personnes concernées un plus grand contrôle sur les données à caractère personnel qui sont traitées automatiquement. Il en résulte que les personnes concernées peuvent transférer plus facilement leurs données à caractère personnel entre prestataires de services (également appelé “droit à la transférabilité”) et qu’elles peuvent demander à un responsable du traitement d’effacer leurs données personnelles dans certaines circonstances (également appelé “droit d’effacement”).
Articles 23 et 30 – Les articles 23 et 30 exigent des entreprises qu’elles mettent en œuvre des mesures raisonnables de protection des données afin de protéger les données personnelles et la vie privée des consommateurs contre toute perte ou exposition.
Articles 31 et 32 – Les notifications d’atteintes à la protection des données jouent un rôle important dans le texte du GDPR. L’article 31 précise les exigences applicables aux violations individuelles des données : les responsables du traitement doivent informer les autorités de contrôle d’une violation des données à caractère personnel dans les 72 heures suivant la connaissance de la violation et doivent fournir des détails spécifiques sur la violation, tels que la nature de celle-ci et le nombre approximatif de personnes concernées. L’article 32 fait obligation aux responsables du traitement d’informer les personnes concernées le plus rapidement possible des violations de leurs droits et libertés lorsque celles-ci présentent un risque élevé.
Articles 33 et 33 bis – Les articles 33 et 33 bis exigent des entreprises qu’elles procèdent à des évaluations d’impact sur la protection des données afin d’identifier les risques pour les données des consommateurs et à des examens de conformité de la protection des données pour s’assurer que ces risques sont traités.
Article 35 – L’article 35 exige que certaines entreprises désignent des délégués à la protection des données. En particulier, toute entreprise qui traite des données révélant les données génétiques d’un sujet, sa santé, son origine raciale ou ethnique, ses croyances religieuses, etc. doit désigner un responsable de la protection des données ; ce dernier sert à conseiller les entreprises sur le respect de la réglementation et sert de point de contact. Certaines entreprises peuvent être assujetties à cet aspect simplement parce qu’elles recueillent des renseignements personnels sur leurs employés dans le cadre des processus de ressources humaines.
Articles 36 et 37 – Les articles 36 et 37 décrivent le poste de délégué à la protection des données et les responsabilités qui lui incombent pour assurer le respect des règles du RGPD, ainsi que pour rendre compte aux autorités de contrôle et aux personnes concernées.
Article 45 – L’article 45 étend les exigences en matière de protection des données aux entreprises internationales qui collectent ou traitent les données à caractère personnel des citoyens de l’UE, en les soumettant aux mêmes exigences et sanctions que les entreprises établies dans l’UE.
Article 79 – L’article 79 énonce les sanctions en cas de non-conformité, qui peuvent aller jusqu’à 4 % des recettes annuelles globales de l’entreprise en infraction, selon la nature de l’infraction.
APPLICATION ET SANCTIONS EN CAS DE NON-CONFORMITÉ
Par rapport à l’ancienne directive sur la protection des données, le RGPD a alourdi les sanctions en cas de non-respect. Les sociétés de surveillance ont plus d’autorité que dans la législation précédente parce que le RGPD établit une norme à travers l’UE pour toutes les entreprises qui traitent les données personnelles des citoyens européens. Les responsables détiennent des pouvoirs d’enquête et de correction et peuvent émettre des avertissements pour non-conformité, effectuer des vérifications pour s’assurer de la conformité, exiger des entreprises qu’elles apportent des améliorations précises dans les délais prescrits, ordonner l’effacement de données et empêcher les entreprises de transférer des données à d’autres pays. Les responsables du traitement et les sous-traitants des données sont soumis aux pouvoirs et sanctions des sociétés de surveillance.
Le RGPD permet également aux autorités de surveillance d’infliger des amendes plus importantes que celles prévues par la directive sur la protection des données ; les amendes sont déterminées en fonction des circonstances de chaque cas et l’autorité de surveillance peut choisir d’imposer ses pouvoirs de correction avec ou sans amende. Pour les entreprises qui ne se conforment pas à certaines exigences du RGPD, les amendes peuvent aller jusqu’à 2 % ou 4 % du chiffre d’affaires annuel total mondial ou entre 10 millions et 20 millions d’euros, le montant le plus élevé étant retenu.
LE RGPD S’APPLIQUE À TOUS CEUX QUI ATTEIGNENT LES CITOYENS EUROPÉENS
Outre les membres de l’UE, il est important de noter que toute entreprise qui commercialise des biens ou des services à des résidents de l’UE, quelle que soit sa localisation, est soumise au règlement. En se conformant aux exigences du RGPD, les entreprises éviteront de payer des pénalités coûteuses tout en améliorant la protection des données et la confiance des clients.
Maintenant que cette réglementation sur la protection de la vie privée est en vigueur, les sites Web qui ne sont pas conformes seront inaccessibles dans les États européens. Si le site de votre organisation recueille des données réglementées auprès d’utilisateurs européens, il est susceptible de se conformer au RGPD.
Chez Wifox, nos solutions WiFi pour professionnels respectent l’ensemble des réglementations relatives au RGPD.