Nouvelles règles applicables à la protection des données personnelles conformément au RGPD


Le 25 mai 2018, le règlement général à la protection des données personnelles, dit « RGPD » (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016)  entrera en vigueur.

Les nouvelles règles qu’il instaure sont directement applicables en France et s’imposent aux responsables de traitement de données qui se trouvent sur le territoire de l’Union européenne ainsi qu’aux responsables de traitement de données qui se trouvent en dehors du territoire de l’Union Européenne et qui traitent des données de personnes se trouvant sur ce même territoire.

Ce champ d’application étendu permettra aux entreprises étrangères, qui traitent des données sur le territoire de l’Union européenne, de se voir appliquer les mêmes obligations que les entreprises européennes.

 

La latence de l’entrée en vigueur du règlement contraint les responsables de traitement à se confronter à leur obligation de mise en conformité dès aujourd’hui. En effet, au terme du RGPD, le système de déclaration et d’autorisation auparavant mis en place par la CNIL est supplanté par un système de conformité avec contrôle a posteriori. Il s’agit dès lors, d’être en conformité avec les obligations légales et réglementaires de protection des données en cas de contrôle de la CNIL, sous peine de lourdes sanctions administratives.

 

La mise en conformité doit être faite tant au niveau technique pour garantir la sécurité et la confidentialité des données, qu’au niveau du respect des obligations quant au traitement des données et aux droits des personnes concernées.

S’agissant des traitements de données, les nouvelles obligations imposées aux responsables de traitement résultent d’une volonté d’accroître la protection des données personnelles. Le RGPD impose dorénavant le respect de la licéité des traitements de données dès l’origine (le principe du « Privacy by design ») avec une protection maximale par défaut (le principe du « Privacy by default »).

En cas de violation de ces principes, une sanction de la plus forte des deux sommes entre 2% du chiffre d’affaires annuel mondial et 10 millions d’euros trouve à s’appliquer.

 

Par ailleurs, les responsables de traitement doivent désormais se soumettre à de nouveaux droits des personnes, qui s’ajoutent à ceux existant. Ainsi, le droit d’accès aux données personnelles, le droit à la modification, à la rectification ou à la suppression sont maintenus et complétés par le règlement alors que le droit à la portabilité des données fait ici sa première apparition.

En cas de violation de l’un des droits des personnes à la protection de ses données, le responsable de traitement risque une sanction pécuniaire de la plus forte des deux sommes entre 4% du chiffre d’affaires annuel mondial et 20 millions d’euros.

Les sanctions administratives précitées n’excluent pas l’application des sanctions pénales préexistantes prévues aux articles 226-16 à 226-24 du Code pénal.

 

 


Articles similaires