Le Parlement Européen a adopté le 27/04/2016 le Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données, en anglais GDRP, pour General Data Protection Regulation – n°2016/679) qui abroge la directive 95/46/CE.
Il était en effet nécessaire d’harmoniser le cadre juridique relatif au traitement de données personnelles au sein de l’Union Européenne.
Contrairement à une directive, ce règlement est directement applicable dans l’ensemble de l’Union sans transposition dans les différents États membres. Le même texte s’appliquera donc dans toute l’Union.
Le règlement sera applicable à partir du 25 mai 2018.
- Il repose sur une logique de conformité et non plus de formalités préalables :
- Protection des données dès la conception et par défaut (privacy by design) ;
- Nécessité de mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment ;
- Suppression des obligations déclaratives, dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes.
- Il définit de nouveaux outils de conformité :
- Création d’un délégué à la protection des données ;
- Tenue d’un registre des traitements mis en œuvre ;
- Notification de failles de sécurité à la CNIL et aux personnes concernées ;
- Certification de traitements et adhésion à des codes de conduites.
- Il définit de nouveaux droits :
- Le droit à la portabilité des données : récupérer les données sous une forme aisément réutilisable & interopérable
- Traitement des données des mineurs de moins de 16 ans : L’information sur les traitements rédigée en des termes clairs et simples + consentement du titulaire de l’autorité parentale. Devenu adulte, le consentement donné sur un traitement doit pouvoir être retiré et les données effacées.
- Actions collectives en matière de protection des données personnelles désormais possible.
- Droit à réparation des dommages matériel ou moral : si violation du Règlement.
- Il prévoit de nouvelles sanction : et notamment une amende administrative (notamment de 2% à 4% du chiffre d’affaires annuel mondial de l’entreprise – voir art.83 RGDP).
Nous sommes à votre disposition pour vous accompagner dans la mise en conformité de vos traitements de données à caractère personnel