Présentation du RGPD

Règlement général sur la protection des données

Le règlement Général sur la  Protection des données  ou simplement connu comme « RGPD »  qui est un texte renforce et unifie la protection des données pour les individus au sein de l’Union européenne

Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce au pouvoir des autorités de contrôle.

Les systèmes d’information doivent être conçus avec un paramètre de confidentialité extrême par défaut afin qu’il ne puisse pas être utilisé pour identifier un sujet.

 Le traitement doit être effectué dans les six bases légitimes spécifiées par le règlement (consentement, obligation légale, contrat, mission publique, sauvegarde des intérêts vitaux et intérêts légitimes) sinon pas personnelles données doivent être traitées.

Toutes organisations  qui ne respectent pas les normes en matière de traitement des données peuvent être lourdement sanctionnées.

Les amendes qui seront imposés doivent être “ effectives, proportionnées et dissuasives”

I. Dispositions générales

Le présent règlement s’applique dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que celui-ci ait lieu ou non dans l’Union.

Il s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, dès qu’elles ciblent les résidents de l’UE par le profilage ou proposent des biens et services à des résidents européens. 

II. Des principes

Une base légale est nécessaire pour traiter une donnée personnelle. Les buts légaux sont :

a.) Le consentement : Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque. 

b.) Le contrat : Le recours à cette base légale suppose que le traitement soit objectivement nécessaire à l’exécution d’un contrat entre l’organisme traitant les données et les personnes concernées.

c.) La mission d’intérêt public : Le recours à cette base légale se justifie en particulier pour les traitements mis en œuvre par les autorités publiques aux fins d’exécuter leurs missions.

d.) Protéger les intérêts vitaux d’une personne 

e.) La mission d’intérêt public : Le recours à cette base légale se justifie en particulier pour les traitements mis en œuvre par les autorités publiques aux fins d’exécuter leurs missions.

f.)  L’intérêt légitime 

III  Droits 

1.) Transparence et modalités

L’obligation de transparence est définie selon les  articles 12, 13 et 14 du concernées.

Toute information doit être concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.

2.) Information et accès

L’exercice du droit d’accès permet de savoir si les  données vous concernant sont traitées et d’y avoir accès afin d’en contrôler l’exactitude et, au besoin, de les faire rectifier ou effacer.

3.) Rectification et effacement

Toute personne peut obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et celui a l’obligation d’effacer ces données dans les meilleurs délais.

4.) Droit d’opposition et décisions automatisées

La personne concernée peut refuser le  traitement automatisé, ainsi que le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

IV. Contrôleur et processeur

Selon le RGPD, deux types d’entités peuvent traiter des données à caractère personnel : les contrôleurs et les processeurs de données.

Le contrôleur de données («contrôleur») est l’entité qui, seule ou conjointement avec d’autres entités, détermine les finalités et les moyens du traitement de données personnelles. Le processeur de données (« processeur ») est l’entité qui traite des données à caractère personnel pour le compte du contrôleur.

Il est important de déterminer pour chaque activité de traitement de données si l’entité qui les traite  est un contrôleur ou un processeur. 

1.) Pseudonymisation

La pseudonymisation empêche  d’attribuer des données à une personne physique sans avoir recours à des informations supplémentaires. 

2.) Registres des activités de traitement

C’est l’ensemble des données et leur utilisation.

3.) Sécurité des données personnelles

Le RGPD adopté par l’ensemble des 28 pays membres de l’Union Européenne est une véritable référence dans la lutte pour la protection des données en l’harmonisant à l’ensemble des entreprises, structures publiques et citoyens européens. 

Face aux différents risques de sécurité concernant les données personnelles, les organismes  se doivent de mettre en place les mesures nécessaires pour garantir leur conformité.

La protection des données est aujourd’hui un enjeu essentiel qui oblige les acteurs concernés à repenser leur politique en matière de sécurité  et de traitement adapté et conforme

Pour cela,  différentes précautions et mesures doivent donc être prises.

4.) Les données de protection agent

Le délégué a pour principales missions de contrôler le respect du règlement, de conseiller sur son application et de faire office de point de contact avec l’autorité de contrôle.

VIII. Recours, responsabilité et sanctions

Des sanctions financières allant jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu) sont infligées en cas de non-respect. 

Applicabilité en dehors de l’Union européenne

Le RGPD élargit la gamme de moyens juridique permettant d’encadrer les transferts qui pourront être utilisés par les responsables de traitement ainsi que par les sous-traitants.

Représentant UE

L’obligation de désigner par écrit  un représentant dans l’Union pour les entreprises, responsables de traitements et sous-traitants, n’ayant pas d’établissement sur le territoire de l’UE.

Pays tiers

Le RGPD interdit les transferts de  données  personnelles de l’UE aux pays en dehors de l’EEE (connu comme tiers pays) sauf en cas de protection réglementaire officiellement considérées comme suffisantes par la Commission Européenne.

Mise en œuvre au Royaume – Uni

Officiellement retiré de l’Union Européenne, mais le droit jusqu’à la fin de la période de transition  le 31 Décembre 2020.  

À la fin de la transition, le GDPR sera modifié. 

Accueil

La proposition de la nouvelle réglementation a donné lieu à beaucoup de discussions.

Impact

À l’échelle mondiale, certains voient le RGPD comme une perte de compétitivité pour les entreprises européennes qui doivent investir dans la protection des données personnelles, pendant qu’il n’existe aucun règlement similaire dans des pays comme les États-Unis.

Application et incohérence

Les sociétés sont désormais soumises à des obligations juridiques comme  fournir des sujets avec les données qu’ils rassemblent. Pourtant, certains ne sont toujours pas conformes. Ce  qui a permis de proposer un meilleur contrôle par les autorités.

Influence sur les lois internationales

Le California Consumer Privacy Act accorde des droits à la transparence et au contrôle de la collecte d’informations personnelles par les entreprises, de la même manière que le  RGPD.

Marché unique numérique de l’ UE

Le marché unique numérique est une politique menée par la Commission européenne visant à créer au sein de l’Union européenne les conditions d’un marché unique dans le numérique.