Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Cette réglementation européenne a pour objectif d’harmoniser les lois sur la protection des données à caractère personnel au sein de l’Union européenne (UE), et d’accroître la responsabilité des organisations qui traitent ces données. Cet article vous informe sur les nouvelles responsabilités des sociétés, ainsi que les mesures à prendre pour se conformer au RGPD.

Les principes fondamentaux du RGPD

Le RGPD s’appuie sur sept principes fondamentaux qui doivent guider les organisations dans leurs traitements de données personnelles :

• La licéité, loyauté et transparence : Les données doivent être collectées et traitées de manière licite, loyale et transparente vis-à-vis des personnes concernées.
• La limitation des finalités : Les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes, et ne doivent pas être traitées ultérieurement d’une manière incompatible avec ces finalités.
• L’exactitude : Les données doivent être exactes et à jour, et les organisations doivent prendre toutes les mesures raisonnables pour rectifier ou supprimer rapidement les données inexactes.
• L’intégrité et confidentialité : Les organisations sont tenues de garantir la sécurité, l’intégrité et la confidentialité des données, en mettant en place des mesures techniques et organisationnelles appropriées.

Responsabilité et obligations des sociétés

Sous le RGPD, les organisations doivent démontrer leur conformité avec les principes énoncés ci-dessus. Pour ce faire, elles doivent mettre en place une série de mesures visant à garantir la protection des données personnelles qu’elles traitent. Parmi ces mesures figurent :

• La désignation d’un Délégué à la Protection des Données (DPD) : Les organisations dont les activités principales consistent en un traitement à grande échelle de données sensibles ou un suivi systématique à grande échelle des personnes concernées sont tenues de désigner un DPD. Ce dernier doit être indépendant, expert en matière de protection des données et disposer des ressources nécessaires pour exercer ses missions.
• L’élaboration d’une politique de protection des données : Les organisations doivent définir et mettre en œuvre une politique interne relative à la protection des données personnelles, qui doit être régulièrement révisée et mise à jour.
• La tenue d’un registre des activités de traitement : Les organisations doivent tenir un registre détaillé de leurs activités de traitement, précisant notamment les finalités du traitement, les catégories de données concernées, les destinataires auxquels les données sont communiquées et les durées de conservation prévues pour chaque catégorie de données.
• La réalisation d’une analyse d’impact relative à la protection des données (AIPD) : Les organisations doivent effectuer une AIPD avant de mettre en œuvre un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, afin d’évaluer les risques et de déterminer les mesures appropriées pour y faire face.
• La mise en place de mesures techniques et organisationnelles appropriées : Les organisations doivent garantir la sécurité, l’intégrité et la confidentialité des données en mettant en place des mesures telles que le chiffrement, l’anonymisation, la pseudonymisation ou la limitation de l’accès aux données.

Droit des personnes concernées

Le RGPD renforce également les droits des personnes concernées, notamment :

• Le droit d’accès : Les personnes concernées ont le droit de demander aux organisations de leur fournir des informations sur les données qui les concernent, ainsi que sur la manière dont ces données sont traitées.
• Le droit de rectification : Les personnes concernées peuvent demander la rectification de leurs données inexactes ou incomplètes.
• Le droit à l’effacement (« droit à l’oubli ») : Dans certaines conditions prévues par le RGPD, les personnes concernées peuvent demander l’effacement de leurs données personnelles.
• Le droit à la limitation du traitement : Les personnes concernées peuvent demander la limitation du traitement de leurs données dans certaines circonstances, par exemple lorsque l’exactitude des données est contestée.
• Le droit à la portabilité des données : Les personnes concernées ont le droit de recevoir leurs données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de transmettre ces données à un autre responsable de traitement sans entrave.
• Le droit d’opposition : Les personnes concernées ont le droit de s’opposer au traitement de leurs données pour des raisons tenant à leur situation particulière.
• Le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé : Les personnes concernées ont le droit de ne pas faire l’objet d’une décision ayant des effets juridiques les concernant ou les affectant de manière significative, et reposant uniquement sur un traitement automatisé, y compris le profilage.

Ces droits doivent être respectés par les organisations qui traitent des données personnelles. Ainsi, elles doivent prévoir des procédures permettant aux personnes concernées d’exercer leurs droits, et doivent répondre aux demandes dans un délai d’un mois (pouvant être prolongé en cas de demande complexe).

Sanctions en cas de non-conformité

Les autorités nationales de protection des données sont habilitées à sanctionner les organisations qui ne se conforment pas au RGPD. Les sanctions peuvent inclure des avertissements, des réprimandes, la suspension temporaire ou définitive du traitement, ainsi que des amendes administratives pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé.

Il est donc essentiel pour les sociétés de prendre toutes les mesures nécessaires pour se conformer au RGPD et garantir la protection des données personnelles qu’elles traitent. Une bonne compréhension des principes fondamentaux du RGPD, ainsi que des obligations et responsabilités qui en découlent, est une étape clé vers une mise en conformité réussie.