– Ou comment rendre aux utilisateurs le pouvoir de leurs données personnelles –
Le nouveau règlement européen sur la protection des données personnelles entrera en application dès le 25 mai 2018. S’agissant d’un texte adopté par le règlement européen, ce dernier est applicable uniformément dans l’ensemble des pays de l’UE.
La GRPD a vocation à protéger les individus en renforçant le droit des personnes, consolider le pouvoir de régularisation via la coopération des autorités de protection des données, et responsabiliser les acteurs traitant des données (responsable du traitement et sous-traitant).
Ce règlement concerne les organismes publics ou privés qui traitent, manipulent, gèrent ou stockent des données à caractère personnel (adresse IP, nom, numéro téléphone, adresse, date de naissance, lieu de résidence, la profession, le sexe …)
Les nouveaux droits apportés par la GRPD
Le droit à la portabilité des données pour faciliter la maîtrise de ses données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable (formulaires d’inscription divers, réseaux sociaux, e-commerce, données de localisation,…) et, le cas échéant, de les transférer ensuite à un tiers.
Des conditions particulières pour le traitement des données des enfants : la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans. L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l’enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Les États membres peuvent abaisser cet âge par la loi, sans toutefois qu’il puisse être inférieur à 13 ans. Devenu adulte, le consentement donné sur un traitement doit pouvoir être retiré et les données effacées.
Introduction du principe des actions collectives : Tout comme pour la législation relative à la protection des consommateurs, les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données auront la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.
Un droit à réparation des dommages matériel ou moral : Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
GRPD – De nouveaux outils de conformité pour les entreprises
Le règlement impose aux entreprises la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données. Elles doivent également être capables à tout moment de démontrer qu’elles respectent les principes relatifs aux traitements des données personnelles. Ainsi les entreprises devront se munir des documents suivants :
- la tenue d’un registre des traitements mis en œuvre
- la notification de failles de sécurité (aux autorités et personnes concernées)
- la certification de traitements
- l’adhésion à des codes de conduites
- le DPO (Délégué à la Protection des Données)
- les études d’impact sur la vie privée (EIVP)
Des sanctions lourdes pour une prise en compte rapide
En fonction des articles du règlement en infraction, des amendes administratives pourront s’appliquer pour un montant allant de 10 à 20.000.000 euros ou, dans le cas d’une entreprise, de 2 à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Afin d’accompagner les entreprises dans la mise en conformité du traitement des données personnelles, la CNIL a publié 6 étapes pour se préparer à la GRPD.