Le règlement général sur la protection des données (RGPD) est entré en vigueur en Europe le 25 mai. Il est désormais devenu un cadre qui permet aux entreprises d’utiliser les données personnelles qu’elles possèdent, qu’il s’agisse de leurs employés, clients ou fournisseurs...
Quels sont les objectifs du RGPD ?
Le développement de la technologie et la mondialisation ont créé de nouveaux problèmes dans la protection des données personnelles. L’augmentation de la quantité de collecte et de partage et l’accessibilité accrue des informations et des technologies des entreprises ont favorisé le flux de données à caractère personnel au sein de l’UE et vers les pays tiers. Aujourd’hui, ces évolutions nécessitent la mise en place d’un cadre de protection des données plus strict et cohérent dans les différents pays de l’UE. C’est dans le souci de protéger la sécurité personnelle des lois et des pratiques que le RGPD est né. Ce règlement s’applique à chaque entreprise, groupe ou institution qui collecte et traite des données. Ces dernières peuvent être à caractère personnel sur des personnes qui résident dans l’Union européenne. Par conséquent, le RGPD inclut toutes les données relatives aux individus au sens large.
Ce qui change pour l’entreprise ?
En termes de principe de responsabilité, par exemple, auparavant, les entreprises devaient déclarer au préalable à la CNIL quand elles possèdent de fichiers clients, et le traitement des données ne contenait aucun risque lié à la vie privée. Actuellement, les responsables du traitement devront mettre en œuvre des mesures techniques et organisationnelles pour s’assurer que le traitement des données est conforme au RGPD et entreprise. Il n’y a plus de logique de contrôle a priori, mais de logique postérieure. Pour chaque donnée dite « sensible » (comme les informations biométriques), l’entreprise devra réaliser une analyse d’impact sur la protection des données (DPIA-Data Protection Impact Assessment).
Le consentement préalable de la personne concernée a également été renforcé. Prouver l’utilité de chaque information individuelle que nous collectons est par ailleurs indispensable.
Quelles sont les nouvelles sanctions adoptées ?
L’innovation la plus convaincante introduite par la nouvelle réglementation RGPD et entreprise est des amendes sans précédent pour les contrevenants. Si avant 2016, la CNIL ne pouvait infliger une amende de plus d’une centaine de milliers d’euros, depuis la promulgation de la loi pour une République numérique, ce plafond est désormais passé à plusieurs millions d’euros. Avec l’aide du RGPD, les capacités de sanctions de la CNIL ont été largement renforcées, car elle peut atteindre 20 millions d’euros, soit 4 % du chiffre d’affaires mondial. L’amende est proportionnelle à la gravité du délit. En l’absence de jurisprudence, il est difficile de dire aujourd’hui quand la peine maximale sera appliquée.