Le RGPD : un nouveau paradigme
Le RGPD (Règlement Général sur la Protection des Données) est considéré comme un nouveau paradigme par rapport aux précédents législations européennes sur les données personnelles en raison :
DPO
(peut être interne ou externe à l’entreprise)
La nomination d’un DPO (Délégué à la Protection des données) est obligatoire pour les entreprises du secteur public.
Il est obligatoire pour les entreprise du secteur privé traitant des données particulières (sensibles) à grande échelle ou effectuant du profilage à grande échelle
Extra-territorialité
Le RGPD est applicable à des sociétés en-dehors de l’Union Européenne (c’est-à-dire dont le siège ou les serveurs sont situés en-dehors de l’Union Européenne) du moment que ces entreprises ciblent des citoyens européens (notamment sur le web)
Droit à l’oubli / effacement
Le concept de droit à l’oubli / à l’effacement permet aux personnes concernées de modifier leur traces numériques afin de devenir acteur de leur vie numérique
Portabilité
Ce principe assure la portabilité des données personnelles entre différents prestataires de services (par exemple, sur les réseaux sociaux, pour des prestataires de services spécialisés dans la fourniture et la gestion d’emails, ou dans l’énergie)
Protection des données dès la conception et par défaut
La protection des données dès la conception et par défaut introduit les notions de protection des données lors de la conception d’un produit ou d’un service, et ce sans qu’une action supplémentaire ne soit nécessaire de la part de la personne concernée (DP by default)
Accountability / principe de responsabilité
Le principe de responsabilité (accountability) impose au responsable de traitement de montrer et prouver que tout a été mis en œuvre selon les instructions mentionnées dans la politique de confidentialité de l’entreprise
PIA
Le PIA (analyse de risques et d’impacts sur la vie privée et sur la protection des données personnelles) doit être réalisé dans un certain nombre de cas, et notamment si le traitement de données personnelles comporte un risque élevé pour les personnes concernées
Mesures de sécurité techniques et organisationnelles
Il faut s’assurer que des mesures de sécurité techniques et organisationnelles adéquates (appropriées) aient été mises en place permettant de protéger et de sécuriser les données personnelles
Principe de minimisation
Il faut collecter le minimum de données personnelles nécessaires
Violations des données
Les violations de données doivent être notifiées à l’autorité de régulation (la CNIL pour la France) par le responsable de traitement dans un délai maximum de 72 heures. En cas de risque très élevé pour les personnes concernées, le responsable de traitement peut être obligé d’informer individuellement chaque personne concernée
Amendes
Le niveau des amendes en cas de non-conformité au RGPD peut atteindre 4% du chiffre d’affaires mondial ou 20 millions d’Euros de l’entreprise concernée
Dans le cadre du RGPD, le cabinet de conseil Data Privacy Professionals vous propose une offre de services permettant
→ des missions d’accompagnement de mise en conformité,
→ des packs (livrables) accélérant la mise en conformité,
→ de former vos employés et votre DPO,
→ des services de DPO externe ou externalisé (Délégué à la protection des données).