Le RGPD ou règlement européen sur la protection des données modernise la loi informatique et libertés. Il met en avant l’ensemble des règles que toutes les entreprises traitant des données personnelles doivent respecter afin de garantir la protection de la vie privée des citoyens européens.
L’obligation des entreprises selon le RGPD
Les données à caractère personnel sont toutes les informations concernant la vie privée d’une personne comme : son nom, son adresse, son email, ses données de localisation. Comme la majorité des données anonymes peuvent conduire à identifier une personne, le règlement s’applique à tous les acteurs qui vont traiter les données personnelles.
Avec l’avènement du RGPD donc, toutes les entreprises réalisant un traitement de données à caractère personnel en Europe, doivent clairement informer pourquoi les données des personnes physiques sont collectées. Dans le contexte de la protection des personnes, les citoyens européens doivent savoir depuis quand les traitements de données à leur encontre se font, quid de leur durée de conservation, et avec quels moyens leurs données sont sécurisées ! Se renseigner ici pour plus d’informations.
L’accord des personnes concernées pour le traitement de leurs données
L’usager devra donner un accord clair pour la collecte et l’exploitation de ses données. Même si aujourd’hui de multiples sites imposent aux utilisateurs d’accepter l’exploitation de leur donnée sous peine de se voir refuser l’accès au site, un suivi régulier et systématique s’impose pour éviter au maximum le piratage ou l’usurpation d’identité.
Il faut aussi mettre en avant le fait que la loi informatique et libertés de 1978, impose un droit d’accès aux donnés et surtout la portabilité de ces dites données avec le RGPD. Le particulier peut donc demander à l’entreprise de lui remettre dans un format structuré la totalité de ses données personnelles afin qu’il puisse les remettre à un autre prestataire.
Quid du rôle du DPO ou Data protection officer ?
Le DPO collabore avec le responsable du traitement pour garantir le bon respect de la protection des données à caractère personnel et leur traitement. Sa désignation est une nécessité pour les structures publiques et les entreprises de grande envergure traitant des données à grande échelle ou sensibles.
Les sanctions en cas de non-respect d’une clause rgpd contrat
Il faut savoir que depuis le mois de mai 2018, les entreprises qui ne sont pas en conformité avec le règlement RGPD, peuvent être exposées à des sanctions par la Cnil. En cas de manquement au principe de privacy by design (protection de la vie privée dès le départ) et de privacy by default, elles risquent donc d’avoir des amendes à payer à hauteur de 2% du chiffre d’affaires annuel mondial. Attention, pour le manquement au droit des personnes, les sanctions peuvent aller jusqu’à 4% du CA annuel. On entend par ces droits des personnes :
- Le droit à l’effacement des données collectées ;
- Le droit d’accès à ses données sensibles,
- Le droit d’opposition au traitement des données personnelles ;
- Le droit à l’oubli des données traitées ;
- Le droit à la rectification ;
- Le droit à la confidentialité des données ;
- La portabilité des données.
Cette démarche va viser à réduire les formalités administratives. De plus, les obligations déclaratives seront supprimées. Toutefois, les sociétés de plus de 250 salariés et celles ayant moins de 250 personnes mais dont le traitement des données a une incidence sur la vie privée des personnes concernées, doivent établir une étude d’impact et tenir à jour un registre des traitements avec des clauses précises lors de l’embauche des sous-traitants. Une réclamation auprès de l’autorité de contrôle pourra être faite en cas de non-respect de ces dispositions.