Le nouveau RGPD s'applique !
À quoi les entreprises doivent-elles faire attention suite au nouveau règlement général de l'UE sur la protection des données (RGPD) ? Questions et réponses.
La loi européenne sur la protection des données, plus stricte, s'applique. La représentation de la Commission européenne en Allemagne a rassemblé les questions et réponses les plus fréquentes.
Quels sont les avantages du nouveau RGPD ?
La réforme prévoit de donner aux citoyens un plus grand contrôle sur leurs données personnelles. Les nouvelles règles font en sorte que les entreprises et les institutions doivent dire exactement à quelles fins elles souhaitent obtenir quelles données. Pour les citoyens, cette réglementation présente plusieurs avantages :
- Le site "Droit à l'oubli"Si un citoyen ne souhaite pas que ses données soient traitées, celles-ci doivent être effacées s'il n'y a pas de raison légitime de les conserver. Il s'agit ici exclusivement de protéger la vie privée ; aucun événement passé ne doit être effacé, ni même la liberté de la presse limitée.
- Accès à ses propres données : Les citoyens sont mieux informés de la manière dont leurs données sont traitées. Ces informations doivent être claires et compréhensibles. Un Droit à la portabilité des données permet aux citoyens de transférer plus facilement des données à caractère personnel entre différents fournisseurs.
- Le droit de savoir si ses propres données ont été piratéesLes entreprises et organisations doivent notifier aux autorités de contrôle nationales toute violation de données ayant entraîné un risque pour le citoyen concerné. En outre, la personne concernée doit être informée le plus rapidement possible de toutes les violations présentant un risque élevé, afin qu'elle puisse réagir en conséquence.
- Protection des données par la technologie et les paramètres par défaut respectueux de la vie privéeLa "protection des données par la technologie" et les "paramètres par défaut respectueux de la vie privée" sont désormais des éléments essentiels de la législation européenne en matière de protection des données. Des garanties de protection des données sont intégrées très tôt dans le développement de produits et de services et les paramètres par défaut favorables à la protection des données deviennent la norme, par exemple dans les réseaux sociaux ou les applications mobiles.
Les principaux changements pour les entreprises ?
Le nouveau RGPD s'appuie sur les règles de la directive sur la protection des données, en vigueur depuis plus de 20 ans. Les principes fondamentaux de la protection des données ne sont pas modifiés, mais actualisés et modernisés. L'innovation décisive est qu'une législation européenne unique en matière de protection des données remplace désormais les différentes lois des États membres. Un règlement commun sur la protection des données est créé à partir des 28 lois différentes. Les entreprises et les autorités disposeront ainsi d'un cadre réglementaire unique et clair, qui leur permettra de faire des affaires plus facilement et à moindre coût dans toute l'UE.
Le "guichet unique" permettra en outre de créer un point de contact unique pour les entreprises. Les entreprises ne devront plus s'adresser qu'à une seule autorité et non à 28. La sécurité juridique nécessaire aux activités commerciales est ainsi garantie. Les entreprises bénéficieront de décisions plus rapides, d'un interlocuteur unique (suppression de plusieurs points de contact) et d'une réduction de la bureaucratie. En outre, elles peuvent compter sur des décisions uniformes pour les mêmes activités de traitement dans plusieurs États membres.
Les nouvelles règles de protection des données s'appliquent à toutes les entreprises, quel que soit leur siège social. Cela signifie que les entreprises dont le siège est situé en dehors de l'Europe doivent suivre les mêmes règles si elles proposent des biens ou des services dans l'UE.
Une bureaucratie inutile ?
Le RGPD supprime les obstacles à la croissance au niveau européen, notamment pour les petites entreprises. Par exemple, il supprime des formalités telles que les obligations générales de notification, qui étaient courantes dans de nombreux États membres. Et il y aura à l'avenir un seul régime de protection des données dans toute l'UE, avec un interlocuteur unique et une interprétation uniforme des règles. Les entreprises de taille moyenne qui proposent leurs produits ou services dans d'autres États membres en profiteront également. Elles n'auront plus besoin de faire appel à un avocat pour s'adapter aux réglementations en vigueur dans ces pays.
Et ceux qui respectent les règles de la directive sur la protection des données actuellement en vigueur ne devraient pas avoir trop de difficultés à mettre en œuvre le RGPD. Les principes de base n'ont pas changé.
Quelles sont les exceptions pour les petites entreprises ?
Le RGPD a délibérément prévu moins d'obligations pour les petites entreprises. Par exemple, si une petite entreprise n'est pas principalement active dans le traitement de données à caractère personnel, elle n'est pas tenue de désigner un délégué à la protection des données ni de réaliser une analyse d'impact détaillée sur la protection des données. Certes, de telles entreprises doivent généralement documenter leur traitement de données si elles traitent régulièrement des données à caractère personnel et les mettre à la disposition de l'autorité de protection des données sur demande. Toutefois, dans ce cas, une simple liste d'une page suffira.
Par exemple, une entreprise artisanale qui ne stocke des informations sur ses employés ou ses clients que pour ses propres besoins et qui ne les revend pas, doit en fait seulement s'assurer que ces données sont conservées en toute sécurité. Une petite boulangerie n'a pas besoin d'une analyse d'impact sur la protection des données.
Le RGPD entre-t-il en conflit avec d'autres lois sur le traitement des données ?
En principe, il n'y a pas de conflit à ce niveau. Le RGPD autorise, si nécessaire, des clauses spécifiques pour le traitement des données à caractère personnel et n'empêche pas les entreprises de respecter leurs obligations légales.
Au contraire, si le droit national ou européen impose aux employeurs une obligation légale de traiter les données, cela est légal selon le RGPD. Il est important à cet égard que, dans de tels cas, l'employé soit informé de manière claire et complète du traitement de ses données.
Qui est responsable de la poursuite des infractions au règlement sur la protection des données ? Comment garantir une application uniforme dans les différents États membres ?
À l'avenir, il n'y aura pas seulement une législation uniforme sur la protection des données dans toute l'Europe, mais aussi une coopération beaucoup plus étroite entre les autorités de contrôle nationales. Au sein du nouveau Comité européen de protection des données, qui regroupe les chefs des autorités nationales de protection des données, l'application uniforme sera régulièrement contrôlée.
Le RGPD introduit également le mécanisme dit du "guichet unique", qui assure la coopération entre les autorités de protection des données lorsque les activités d'une entreprise impliquent des opérations de traitement de données dans plusieurs États membres. Il existe un interlocuteur unique pour l'entreprise et une interprétation uniforme des règles par l'autorité de contrôle suprême de l'État membre dans lequel se trouve le principal établissement de l'entreprise.
Quelles sont les sanctions auxquelles les entreprises doivent s'attendre si elles ne respectent pas les nouvelles règles de protection des données ?
Les autorités de protection des données sont habilitées à sanctionner les violations des dispositions relatives à la protection des données. Elles peuvent prendre des mesures correctives ou imposer des amendes. Toutefois, la décision d'infliger des amendes doit toujours être proportionnelle et tenir compte de toutes les circonstances du cas d'espèce. Les sanctions sont proportionnelles à la taille de l'organisation. Les entreprises qui n'appliquent pas les dispositions du règlement sur la protection des données sont passibles d'une amende de quatre pour cent du chiffre d'affaires annuel. Cela garantit que les entreprises mondiales et les géants de l'Internet ont également intérêt à respecter les règles.
Les entreprises doivent-elles s'attendre à des amendes si elles ne parviennent pas à se conformer à toutes les exigences ?
En principe, il n'y a pas de délai de grâce. Après une période de transition de deux ans, le règlement sera appliqué le 25 mai 2018. Les entreprises ont donc eu deux ans pour se préparer aux nouvelles règles. Mais il est certain que les autorités nationales seront attentives à la proportionnalité des sanctions.
Il existe des critères clairs : Si une entreprise coopère ou si le nombre de personnes concernées est raisonnable, elle ne doit pas non plus craindre des sanctions draconiennes. En revanche, si une entreprise dissimule une fuite de données et ne contribue guère à l'éclaircissement, les autorités prendront les choses au sérieux.
Outils : 7 étapes pour les entreprises
Spécialement pour les entreprises, la Commission a créé un Guide qui répond aux questions les plus importantes. Il existe en outre un aperçu "Sept étapes pour les entreprises pour se préparer au RGPD".
Pour plus d'informations de fond ici
Source : Commission européenne, représentation de l'Allemagne