Règlement Général sur la Protection des Données
Qu’est-ce que le RGPD ?
Règlement adopté par le parlement européen le 14 avril 2016. Il concerne essentiellement les individus vivant à l’intérieur de l’Union Européenne.
Ce document officiel traite de la protection des personnes physiques au sujet de la collecte, du traitement et de la circulation des données à caractère personnel.
Les données à caractère personnel sont toutes les informations pouvant permettre d’identifier, directement ou non, une personne physique. Cela peut correspondre à une adresse email, une adresse IP, un numéro de téléphone ou d’identification unique, un nom, une photo, une adresse postale, etc.
À quoi sert-il ?
Ce texte vise à renforcer la protection des données personnelles des habitants de l’Union Européenne.
Les principales dispositions du règlement sont :
- Le cade harmonisé
- L’application extra-territoriale
- Le consentement explicite et positif
- Le droit à l’effacement
- Le droit à la portabilité des données personnelles
- Le profilage
- Les principes de “protection des données dès la conception” et de “sécurité par défaut”
- Les notifications en cas de fuite de données
- Obligation de l’entreprise en cas de cyberattaque
- Les possibilités de nommer un délégué à la protection des données / Data Protection Officer (DPO)
- Les missions du DPO
- L’étude d’impact sur la vie privée
- Responsabiliser les entreprises
- Les sanctions les plus importantes
- La création du Comité européen de la protection des données
- L’élaboration de codes de conduite
S’assurer de la conformité en entreprise
Les 6 étapes de la mise en œuvre sont :
- La désignation d’un délégué à la protection des données (DPO)
- Le recensement des données traitées / des traitements de données
- La définition des actions correctives
- L’analyse des risques
- La mise en place de process internes
- La documentation et le suivi
Si vous n’êtes pas familier avec le règlement ou si vous souhaitez en savoir davantage sur le texte, vos pouvez le consulter sur le site de la Commission nationale de l’informatique et des libertés (CNIL).
Quelles sanctions pour non-respect ?
Les sanctions pour non-respect du RGPD sont réparties de la façon suivante :
- Niveau 1 : Avertissement / mise en demeure assortie d’un rappel au règlement
- Niveau 2 : Sommation de cession immédiate des violations observée
- Niveau 3 : Limitation ou suspension temporaire des traitements et/ou des flux de données
- Niveau 4 : Sanction administrative pour les entreprises n’ayant pas respecté le niveau 2
Les États membres ont également la capacité d’infliger des sanctions pénales.
Des amendes et autres sanctions financières pouvant aller jusqu’à 4% du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros.