Présentation du RGPD
Règlement général sur la protection des données
Le règlement Général sur la Protection des données ou simplement connu comme « RGPD » qui est un texte renforce et unifie la protection des données pour les individus au sein de l’Union européenne.
Les principaux objectifs du RGPD sont d’accroître à la fois la protection des personnes concernées par un traitement de leurs données à caractère personnel et la responsabilisation des acteurs de ce traitement. Ces principes pourront être appliqués grâce au pouvoir des autorités de contrôle.
Les systèmes d’information doivent être conçus avec un paramètre de confidentialité extrême par défaut afin qu’il ne puisse pas être utilisé pour identifier un sujet.
Le traitement doit être effectué dans les six bases légitimes spécifiées par le règlement (consentement, obligation légale, contrat, mission publique, sauvegarde des intérêts vitaux et intérêts légitimes) sinon pas personnelles données doivent être traitées.
Toutes organisations qui ne respectent pas les normes en matière de traitement des données peuvent être lourdement sanctionnées.
Les amendes qui seront imposés doivent être “ effectives, proportionnées et dissuasives”
I. Dispositions générales
Le présent règlement s’applique dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que celui-ci ait lieu ou non dans l’Union.
Il s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, dès qu’elles ciblent les résidents de l’UE par le profilage ou proposent des biens et services à des résidents européens.
II. Des principes
Une base légale est nécessaire pour traiter une donnée personnelle. Les buts légaux sont :
a.) Le consentement : Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque.
b.) Le contrat : Le recours à cette base légale suppose que le traitement soit objectivement nécessaire à l’exécution d’un contrat entre l’organisme traitant les données et les personnes concernées.
c.) La mission d’intérêt public : Le recours à cette base légale se justifie en particulier pour les traitements mis en œuvre par les autorités publiques aux fins d’exécuter leurs missions.
d.) Protéger les intérêts vitaux d’une personne
e.) La mission d’intérêt public : Le recours à cette base légale se justifie en particulier pour les traitements mis en œuvre par les autorités publiques aux fins d’exécuter leurs missions.
f.) L’intérêt légitime
III Droits
1.) Transparence et modalités
L’obligation de transparence est définie selon les articles 12, 13 et 14 du concernées.
Toute information doit être concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.
2.) Information et accès
L’exercice du droit d’accès permet de savoir si les données vous concernant sont traitées et d’y avoir accès afin d’en contrôler l’exactitude et, au besoin, de les faire rectifier ou effacer.
3.) Rectification et effacement
Toute personne peut obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et celui a l’obligation d’effacer ces données dans les meilleurs délais.
4.) Droit d’opposition et décisions automatisées
La personne concernée peut refuser le traitement automatisé, ainsi que le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.
IV. Contrôleur et processeur
Selon le RGPD, deux types d’entités peuvent traiter des données à caractère personnel : les contrôleurs et les processeurs de données.
Le contrôleur de données («contrôleur») est l’entité qui, seule ou conjointement avec d’autres entités, détermine les finalités et les moyens du traitement de données personnelles. Le processeur de données (« processeur ») est l’entité qui traite des données à caractère personnel pour le compte du contrôleur.
Il est important de déterminer pour chaque activité de traitement de données si l’entité qui les traite est un contrôleur ou un processeur.
1.) Pseudonymisation
La pseudonymisation empêche d’attribuer des données à une personne physique sans avoir recours à des informations supplémentaires.
2.) Registres des activités de traitement
C’est l’ensemble des données et leur utilisation.
3.) Sécurité des données personnelles
Le RGPD adopté par l’ensemble des 28 pays membres de l’Union Européenne est une véritable référence dans la lutte pour la protection des données en l’harmonisant à l’ensemble des entreprises, structures publiques et citoyens européens.
Face aux différents risques de sécurité concernant les données personnelles, les organismes se doivent de mettre en place les mesures nécessaires pour garantir leur conformité.
La protection des données est aujourd’hui un enjeu essentiel qui oblige les acteurs concernés à repenser leur politique en matière de sécurité et de traitement adapté et conforme.
Pour cela, différentes précautions et mesures doivent donc être prises.
4.) Les données de protection agent
Le délégué a pour principales missions de contrôler le respect du règlement, de conseiller sur son application et de faire office de point de contact avec l’autorité de contrôle.
VIII. Recours, responsabilité et sanctions
Des sanctions financières allant jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu) sont infligées en cas de non-respect.
Applicabilité en dehors de l’Union européenne
Le RGPD élargit la gamme de moyens juridique permettant d’encadrer les transferts qui pourront être utilisés par les responsables de traitement ainsi que par les sous-traitants.
Représentant UE
L’obligation de désigner par écrit un représentant dans l’Union pour les entreprises, responsables de traitements et sous-traitants, n’ayant pas d’établissement sur le territoire de l’UE.
Pays tiers
Le RGPD interdit les transferts de données personnelles de l’UE aux pays en dehors de l’EEE (connu comme tiers pays) sauf en cas de protection réglementaire officiellement considérées comme suffisantes par la Commission Européenne.
Mise en œuvre au Royaume – Uni
Officiellement retiré de l’Union Européenne, mais le droit jusqu’à la fin de la période de transition le 31 Décembre 2020.
À la fin de la transition, le GDPR sera modifié.
Accueil
La proposition de la nouvelle réglementation a donné lieu à beaucoup de discussions.
Impact
À l’échelle mondiale, certains voient le RGPD comme une perte de compétitivité pour les entreprises européennes qui doivent investir dans la protection des données personnelles, pendant qu’il n’existe aucun règlement similaire dans des pays comme les États-Unis.
Application et incohérence
Les sociétés sont désormais soumises à des obligations juridiques comme fournir des sujets avec les données qu’ils rassemblent. Pourtant, certains ne sont toujours pas conformes. Ce qui a permis de proposer un meilleur contrôle par les autorités.
Influence sur les lois internationales
Le California Consumer Privacy Act accorde des droits à la transparence et au contrôle de la collecte d’informations personnelles par les entreprises, de la même manière que le RGPD.
Marché unique numérique de l’ UE
Le marché unique numérique est une politique menée par la Commission européenne visant à créer au sein de l’Union européenne les conditions d’un marché unique dans le numérique.