Où le RGPD est-il applicable et mon organisation doit-elle s’y conformer ?

Le règlement général sur la protection des données (RGPD) remplacera la directive actuelle (directive sur la protection des données 95/46/CE). Il est applicable depuis le 25 mai 2018.

Qu’est-ce que les données personnelles ?

Selon les définitions de l’article 2 de la directive 95/46/CE, les données à caractère personnel sont toute information concernant une personne physique identifiée ou identifiable (« personne concernée ») ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

Qu’est-ce que le règlement général de l’UE sur la protection des données (RGPD) ?

Depuis 1995, la législation européenne n’a pas mis à jour l’ancienne directive (directive 95/46/CE sur la protection des données) – cette directive a été transposée dans les pays membres, ce qui a entraîné une différenciation des règles entre les différents pays de l’Union européenne.

Cette nouvelle réglementation (EU RGPD) a été approuvée le 14 avril 2016 par le Parlement européen et le Conseil de l’Europe. Il sera appliqué directement dans chaque pays, permettant une cohérence des règles entre les nations sur le droit à la vie privée des citoyens.

Voici quelques-uns des points les plus pertinents :

Compte tenu de la nature et de la finalité de l’utilisation des données, tant ceux qui déterminent la finalité et les moyens du traitement des données à caractère personnel (les responsables du traitement des données) que ceux qui peuvent à leur tour le gérer pour être en conformité avec le RGPD de l’UE, devront mettre en œuvre des mesures et des techniques organisationnelles pour atteindre un niveau approprié de sécurité des données en termes de confidentialité, d’intégrité, de disponibilité et de résilience des systèmes qui les soutiennent, ainsi que la validation régulière de l’efficacité de ces mesures.

Au-delà des entreprises de l’UE, le RGPD de l’UE couvre les entreprises hors de l’UE qui offrent des biens ou des services aux personnes concernées de l’UE (« une personne identifiée ou identifiable à laquelle se rapportent les « données à caractère personnel »), même si c’est à titre gratuit, ou qui surveillent le comportement des personnes concernées au sein de l’UE.

En vertu du nouveau règlement, les organisations doivent réduire au minimum la collecte et la conservation des données et obtenir le consentement des consommateurs lors du traitement des données – en d’autres termes, réduire au minimum la collecte de données sur les consommateurs, réduire au minimum les personnes avec lesquelles les données sont partagées et réduire au minimum la durée de leur conservation. L’objectif est que les organisations ne collectent ou ne conservent que les informations dont elles ont besoin pour l’objectif visé, notamment en ce qui concerne les données personnelles.

L’EU RGPD a renforcé la directive précédente, permettant le droit d’être oublié par les propriétaires de données personnelles et demandant la suppression de leurs données par les organisations, y compris les données publiées sur le web. L’EU RGPD stipule que « le (…) responsable du traitement a l’obligation d’effacer les données à caractère personnel sans délai excessif, notamment en ce qui concerne les données à caractère personnel qui sont collectées lorsque la personne concernée était enfant, et la personne concernée a le droit d’obtenir du responsable du traitement l’effacement des données à caractère personnel la concernant sans délai excessif« .

En cas de violation de données à caractère personnel, l’entreprise devra en informer l’organisation responsable à cet effet, l’Autorité de protection des données (APD) (« Autorité nationale de contrôle, agissant en toute indépendance, chargée de surveiller l’application des règles de protection des données au niveau national »), dans les 72 heures suivant la détection de la violation. La notification obligatoire des personnes concernées dépend de la possibilité d’un accès non autorisé aux informations. Il n’est pas nécessaire d’adresser une notification à l’APD si la violation n’est pas susceptible d’entraîner un risque pour les droits et libertés des personnes.

Si l’organisation traite à grande échelle des catégories particulières de données à caractère personnel, elle doit nommer un délégué à la protection des données (DPD) au sein de son conseil d’administration.

Si ces mesures ne sont pas respectées, les sanctions sont élevées : jusqu’à 20 millions d’euros ou, dans le cas des entreprises, jusqu’à 4 % du chiffre d’affaires annuel, le montant le plus élevé étant retenu.

Mon organisation doit-elle être conforme à la directive européenne sur la protection des données à caractère personnel (EU RGPD) ?

Il existe deux types de responsabilités concernant la protection des données à caractère personnel : les « responsables du traitement » et les « sous-traitants » de données.

Il convient également de noter que les données personnelles des employés sont incluses dans le champ d’application de ce règlement.

Ainsi, les organisations qui doivent être conformes à la RGPD de l’UE le sont :

  • Les sociétés (responsables du traitement et transformateurs) établies dans l’UE, que le traitement ait lieu ou non dans l’UE.
  • Les sociétés (responsables du traitement et transformateurs) non établies dans l’UE qui offrent des biens ou des services dans l’UE ou à des particuliers de l’UE.

Comment les organisations peuvent-elles se préparer ?

L’impact de l’EU RGPD est que la protection des données personnelles doit devenir une question d’importance vitale pour les dirigeants des organisations. Il est fondamental que la préparation des politiques soit basée sur un cadre de responsabilité et des règles transparentes pour assurer une réponse rapide aux incidents de sécurité et aux fuites de données personnelles qui en découlent.

L’adoption de normes telles que la norme ISO/CEI 27001 sur la sécurité de l’information sera la base pour parvenir rapidement à la conformité avec le RGPD de l’UE.