Données personnelles : à l'aube de nouveaux principes de responsabilité.
"L'entrée en vigueur du RGPD aura un impact important sur les entreprises, car elles devront prêter une plus grande attention à la manière dont elles traitent les données personnelles. Issus du site http://www.eugdpr.org/, les points clés du RGPD ainsi que les informations sur ses impacts sur les organisations sont présentés ci-dessous :
• Champ d'application territorial étendu (applicabilité extraterritoriale) - Sans doute le principal changement dans le paysage réglementaire de la confidentialité des données vient avec la juridiction étendue du RGPD, car elle s'applique à toutes les entreprises traitant des données personnelles des personnes concernées résidant dans l'UE, où que soit située l'entreprise. Par le passé, l'applicabilité territoriale de la directive était ambiguë et faisait référence au traitement de données « dans le contexte d'un établissement ».
• Pénalités - Les entreprises qui ne respectent pas le RGPD peuvent écoper d'une amende pouvant atteindre 4 % de leur chiffre d'affaires mondial annuel, ou 20 millions d'euros (le montant le plus élevé étant retenu). Ces règles s'appliquent aussi bien au responsable du traitement qu'au sous-traitant, ce qui signifie que les « clouds » ne sont pas épargnés par l'entrée en vigueur du RGPD.
• Consentement - Les conditions du consentement ont été renforcées, et les entreprises ne pourront plus utiliser d'interminables Conditions Générales remplies de termes juridiques, car la demande de consentement devra être formulée via un formulaire intelligible et facile d'accès, dans le but du traitement des données relatives à ce consentement. Comme susmentionné, le Règlement Général sur la Protection des Données de l'UE sert également à renforcer les droits des individus dont les données personnelles sont contenues, hébergées et traitées par des prestataires tiers. Ces droits incluent, mais sans s'y limiter :
• La notification en cas de violation de données - Dans le cadre du RGPD, il devient obligatoire d'envoyer une notification en cas de violation de données dans tous les états membres où il est probable qu'une violation « engendre un risque pour les droits et libertés des personnes physiques ». La notification doit être envoyée dans les 72 heures après la prise de connaissance de la violation.
• Le droit d'accéder - Parmi les droits étendus des personnes concernées, définis par le RGPD, figure le droit d'obtenir du responsable du traitement, la confirmation que des données à caractère personnel les concernant, sont ou ne sont pas traitées et, lorsqu'elles le sont, d'en connaitre la finalité.
• La portabilité des données - Le RGPD introduit la portabilité des données - le droit pour une personne concernée de recevoir les données la concernant, qu'elle a précédemment communiquées dans un « dans un format [...] couramment utilisé et lisible par machine » et a le droit de transmettre ces données à un autre responsable du traitement.
• La protection des données dès la conception - La protection des données dès la conception est un concept qui existe depuis des années, mais elle devient obligatoire avec le RGPD. Fondamentalement, la protection des données dès la conception appelle à l'inclusion de la protection dès le début de la conception d'un système, et non pas en tant qu'ajout.
• Les délégués à la protection des données - Pour les entreprises dont les principales activités consistent en des opérations de traitement nécessitant la surveillance régulière et systématique des personnes concernées à une grande échelle, ou de catégories spéciales de données ou de données relatives à des condamnations pénales et à des infractions, la désignation d'un délégué à la protection des données est obligatoire."
