Le RGPD: un nouveau paradigme

Le RGPD (Règlement Général sur la Protection des Données) est considéré comme un nouveau paradigme par rapport aux précédents législations européennes sur les données personnelles en raison:

DPO (Délégué à la Protection des Données / Data Privacy Officer)

La nomination d’un DPO (Délégué à la Protection des Données) est obligatoire pour les entreprises du secteur public. Il est obligatoire pour les entreprise du secteur privé traitant des données particulières (sensibles) à grande échelle ou effectuant du profilage à grande échelle

Le DPO peut être interne ou externe à l’entreprise

Extra-territorialité

Le RGPD est applicable à des sociétés en-dehors de l’Union Européenne (c’est-à-dire dont le siège ou les serveurs sont situés en-dehors de l’Union Européenne) du moment que ces entreprises ciblent des citoyens européens (notamment sur le web)

Droit à l’oubli / effacement

Le concept de droit à l’oubli / à l’effacement permet aux personnes concernées de modifier leur traces numériques afin de devenir acteur de leur vie numérique

Portabilité

Ce principe assure la portabilité des données personnelles entre différents prestataires de services (par exemple, sur les réseaux sociaux, pour des prestataires de services spécialisés dans la fourniture et la gestion d’emails, ou dans l’énergie)

Protection des données dès la conception et par défaut

La protection des données dès la conception et par défaut introduit les notions de protection des données lors de la conception d’un produit ou d’un service, et ce sans qu’une action supplémentaire ne soit nécessaire de la part de la personne concernée (DP by default)

Accountability / principe de responsabilité

Le principe de responsabilité (accountability) impose au responsable de traitement de montrer et prouver que tout a été mis en œuvre selon les instructions mentionnées dans la politique de confidentialité de l’entreprise

PIA

Le PIA (analyse de risques sur la vie privée et sur la protection des données personnelles) doit être réalisé dans un certain nombre de cas, et notamment si le traitement de données personnelles comporte un risque élevé pour les personnes concernées

Mesures de sécurité techniques et organisationnelles

Il faut s’assurer que des mesures de sécurité techniques et organisationnelles adéquates (appropriées) aient été mises en place permettant de protéger et de sécuriser les données personnelles

Principe de minimisation

Il faut collecter le minimum de données personnelles nécessaires

Amendes

Le niveau des amendes en cas de non-conformité au RGPD peut atteindre 4% du chiffre d’affaires mondial ou 20 millions d’Euros de l’entreprise concernée

Violations des données

Les violations de données doivent être notifiées à l’autorité de régulation (la CNIL pour la France) par le responsable de traitement dans un délai maximum de 72 heures. En cas de risque très élevé pour les personnes concernées, le responsable de traitement peut être obligé d’informer individuellement chaque personne concernée