9 questions fréquentes sur le RGPD

0

Le RGPD est en vigueur en Europe depuis le 25 mai 2018. Il n’est pas toujours simple de s’y retrouver surtout quand on n’a pas forcément « accès » aux conseils d’un homme de loi pour nous éclairer. Dans cet article, nous allons examiner certaines des questions les plus couramment posées par les organisations sur le « Règlement général sur la protection des données ».

Le document officiel du règlement du Conseil européen compte tout de même 88 pages, même si nous essayons de répondre au maximum de questions notre article ne peut être exhaustif. Alors pour toutes vos questions un peu plus pointues on ne que vous conseiller de prendre contact avec un avocat en ligne. Il sera à même de répondre à toutes vos questions sur cette nouvelle législation et ce qu’elle implique pour vous, votre entreprise, vos clients et vos salariés.

À qui s’adresse le RGPD ?

Le RGPD concerne deux entités. Les « responsables du traitement » (qui est votre entreprise, vous ou encore l’organisme qui va utiliser les données) et les « sous-traitants » de ces données. Même si les responsables du traitement et les sous-traitants sont basés en dehors de l’UE, le RGPD s’appliquera toujours à eux tant qu’ils traitent des données appartenant à des citoyens de l’UE.

Il incombe au responsable du traitement de veiller à ce que son sous-traitant respecte la loi sur la protection des données et les sous-traitants doivent eux-mêmes se conformer aux règles de conservation des données relatives à leurs activités de traitement.

Quelle est la différence entre un processeur de données et un contrôleur de données ?

Un responsable du traitement est l’entité qui détermine les finalités, les conditions et les moyens du traitement des données à caractère personnel, tandis que le sous-traitant est une entité qui traite des données à caractère personnel pour le compte du responsable du traitement.

Qui est touché par le RGPD ?

Le RGPD s’appliquera aux entreprises et organisations situées dans l’UE, mais aussi aux organisations situées en dehors de l’UE si elles offrent des biens ou des services aux personnes habitant dans l’Union européenne. On peut donc résumer en disant qu’elle s’applique à toutes les entreprises qui traitent et détiennent les données à caractère personnel des personnes concernées résidant dans l’Union européenne, quel que soit le lieu d’établissement de l’entreprise.

Qu’entend-on par données à caractère personnel ?

Toute information concernant une personne physique ou une « personne concernée », qui peut être utilisée pour identifier directement ou indirectement cette personne. Il peut s’agir d’un nom, d’une photo, d’une adresse électronique, de coordonnées bancaires, de messages sur des sites Web de type réseau social, de renseignements médicaux ou d’une l’adresse IP d’ordinateur.

Consentement « explicite » ou « sans ambiguïté » de la personne concernée – qu’est-ce que cela signifie ?

Les conditions de consentement ont été renforcées. Le temps où les organismes utilisaient des termes et autres conditions illisibles, pleines de jargon juridique est maintenant terminé. La demande de consentement doit être présentée « sous une forme intelligible et facilement accessible », la finalité du traitement des données devant être jointe à ce consentement, c’est-à-dire sans ambiguïté. Vous devez expliquer clairement ce que vous allez faire avec les données récoltées. Par exemple, si vous avec une boutique en ligne, vous allez expliquer que l’adresse servira à la livraison.

Il doit être aussi facile de retirer son consentement que de le donner. Le consentement explicite n’est requis que pour le traitement de données personnelles sensibles (telles que les données révélant l’origine raciale ou ethnique, les données relatives à la santé ou les données génétiques) – dans ce contexte, rien de moins qu’un « opt-in » devra être installé. Toutefois, pour les données non sensibles, un consentement « sans ambiguïté » suffira.

Quelle est la différence entre un règlement et une directive ?

Un règlement est un acte législatif contraignant. Elle doit être appliquée dans son intégralité dans toute l’UE, tandis qu’une directive est un acte législatif qui fixe un objectif que tous les pays de l’UE doivent atteindre. Toutefois, c’est aux différents pays qu’il appartient de décider de la manière de procéder. Il est important de noter que le RGPD est un règlement, contrairement à la législation précédente, qui était une directive. Elle s’applique donc à toute l’UE et tous les pays doivent l’appliquer.

Mon entreprise doit-elle nommer un délégué à la protection des données (DPD) ?

Les délégués à la protection des données doivent être désignés dans 3 cas :

  • Pour les traitements réalisés par une autorité ou un organisme public ;
  • Pour les organismes ayant pour activité de base des opérations de traitement nécessitant le suivi régulier et systématique des personnes à grande échelle;
  • Pour les organismes ayant pour activité de base le traitement à grande échelle de données dites « sensibles » ou relatives aux condamnations pénales et infractions.

Si votre organisation n’entre pas dans l’un de ces cas alors vous n’avez pas besoin de désigner un DPD. Pour plus de détails, lisez l’article 37 du RGPD ou prenez contact avec un avocat spécialisé sur Communautel.

Quelle est l’incidence de le RGPD sur les politiques relatives aux atteintes à la protection des données ?

De façon plus claire qu’elles sont les obligations de le RGPD face au vols de données, les hacks. Les règlements proposés portent principalement sur les politiques de notification des entreprises qui ont été attaquées / volées. Les atteintes à la protection des données susceptibles de présenter un risque élevé pour les droits et libertés des personnes doivent être notifiées à l’autorité de protection des données (APD) compétente dans les 72 heures après les faits et aux personnes concernées dans un délai raisonnable… Il est indiqué « sans retard excessif ».

Quelles sont les sanctions en cas de non-conformité ?

Les organisations ou entreprises ne répondant pas au règlement pourraient se voir infliger des amendes allant jusqu’à 4 % du chiffre d’affaires annuel global ou un maximum de 20 millions d’euros, le montant le plus élevé étant retenu, pour les infractions les plus graves. Il existe une approche graduelle en matière d’amendes. Il est important de noter que ces règles s’appliquent à la fois aux contrôleurs et aux transformateurs, ce qui signifie que les « Clouds » (ceux qui stockent les données) ne seront pas exemptés de l’application de le RGPD.

Fondamentalement, si vous ne respectez pas les principes de base du traitement des données, comme le consentement, les droits des individus sur leurs données ou le transfert de données vers un autre pays, vous pourriez encourir des sanctions financières importantes.

Partager.

A propos de l'auteur

Créateur du site, passionné par la domotique, le développement Web, Les gadgets Chinois et par plus ou moins tout ce qui existe en fait. Le site a été créé autour de l'impression 3D et la domotique, mais d'autres briques s'ajoutent eu fil du temps. Car dès que j'ai une passion, j'essaye de la faire partager.

Laisser un commentaire