Moins d'une année pour se conformer au RGPD

Le Règlement Général Européen sur la Protection des Données (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, désigné par RGPD en Français et GDPR en Anglais, est le nouveau cadre juridique qui régit la protection des données personnelles en Europe. Il remplace et abroge la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Quelle est la différence entre une directive et un règlement ?

Un règlement est une loi communautaire directement applicable dans tous les états-membres de l'Union. Alors que, la directive est un acte normatif dont les objectifs doivent être transposés dans les droits nationaux des Etats membres dans un délai fixé par la Directive.

Quel est la date d’entrée en vigueur du RGDP ?

Le RGDP est entré en vigueur le 24 Mai 2016, soit vingt jours après sa publication au Journal officiel de l’Union européenne. Toutefois, il ne sera applicable qu’à partir du 25 Mai 2018.

Le RGPD affecte-t-il les entreprises marocaines ?

Oui, le champ d’application territorial du nouveau règlement a été élargi et peut couvrir des entreprises qui ne sont pas établies sur le sol européen lorsqu’elles opèrent des traitements des données à caractère personnel liés :a) à l'offre de biens ou de services à des personnes concernées qui se trouvent dans le territoire de l'Union, qu'un paiement soit exigé ou non desdites personnes; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union. Par ailleurs, le RGPD a étendu aux sous-traitants, que sont les entreprises marocaines opérant dans le secteur de l’Offshoring, une large partie des obligations réservées auparavant aux responsables de traitement, installés sur le territoire européen.

Quels sont les principaux changements pour les sous-traitants ?

Pour les sous-traitants, notamment les entreprises marocaines opérant dans le secteur de l’Offshoring, la directive 95/46 limitait les obligations du sous-traitant à l’engagement de ne traiter les données du responsable du traitement que sur instruction de ce dernier et à la prise des mesures techniques et organisationnelles permettant de les sécuriser. Le nouveau règlement, quant à lui, étend les obligations du sous-traitant qui doit, entre autres :
  • Présenter des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles assurant la conformité des traitements aux exigences du règlement (Art28).
  • Ne pas recruter un autre sous-traitant que si le responsable de traitement l’y autorise par écrit (Art28).
  • Disposer d’un contrat ou d’un autre acte juridique au titre du droit de l’Union ou d’un état membre qui le lie à l’égard du responsable du traitement et qui définit les caractéristiques du traitement ainsi que les obligations de chaque partie contractante(Art28).
  • Tenir un registre des traitements. Cette obligation ne s’applique pas aux entités comptant moins de 250 employés si le traitement mis en œuvre ne comporte aucun risque pour les droits et libertés des personnes (Art30).
  • Sécuriser les traitements et les données personnelles (Art32).
  • Notifier au responsable de traitement les violations des données personnelles et ce, dans les meilleurs délais après en avoir pris connaissance (Art33).
  • Désigner un délégué à la protection des données (Art37).

Quels sont les principaux changements pour les autres entreprises ?

Pour les entreprises qui traitent des données à caractère personnel dans le cadre de l’offre d’un produit ou service visant des individus qui se trouvent dans le territoire de l’Union, tel un hôtel ou tout autre site marchand.
Le nouveau règlement impose de nouvelles obligations aux responsables de traitement, telles :
  • La mise en œuvre des mesures techniques et organisationnelles garantissant le respect des nouveaux droits des personnes concernées (Art12..Art23).
  • La responsabilité (Accountability) du responsable de traitement qui doit être en mesure de démontrer que les traitements mis en œuvre sont conformes au nouveau règlement (Art 24).
  • La mise en œuvre des mesures techniques et organisationnelles appropriées, dès la conception (Privacy by Design) ou par défaut (Privacy by Default), assurant le respect des principes de base de la protection des données à caractère personnel, telle la minimisation des données traitées (Art25).
  • La désignation, dans certains cas, d’un représentant au sein de l'Union pour assurer la représentation juridique (Art27).
  • La tenue d’un registre des traitements. Cette obligation ne s’applique pas aux entités comptant moins de 250 employés si le traitement mis en œuvre ne comporte aucun risque pour les droits et libertés des personnes (Art30).
  • La sécurisation des traitements et des données personnelles (Art32).
  • La notification à l’autorité de contrôle, dans un délai de 72 heures, des violations des données à caractère personnel (Art33).
  • La communication aux personnes concernées des violations des données à caractère personnel (Art34).
  • La réalisation, dans certains cas, d’une analyse d’impact des traitements envisagés sur la protection des données à caractère personnel (Art35).
  • La consultation, dans certains cas, de l’autorité de contrôle préalablement à la mise en œuvre du traitement (Art36)
  • La désignation d’un délégué à la protection des données (Art37).

Quels sont les principaux changements pour les personnes concernées ?

Outre les droits traditionnels (information, accès, rectification, opposition, restriction du profilage automatisé servant de base à une décision, etc.), le RGPD a introduit de nouveaux droits pour les individus, tels :
  • Le renforcement des conditions applicables au consentement (Art 7), notamment celui des enfants (Art 8).
  • Le droit à l’oubli (Art 17).
  • Le droit à la limitation du traitement (Art 18).
  • Le droit à la portabilité des données (Art 20).

Quelles sont les sanctions prévues ?

Les sanctions applicables, au titre de la Directive 95/46, varient d’un Etat membre de l’UE à l’autre. En France, la sanction pécuniaire était plafonnée à 300 000 €. Le nouveau règlement a unifié et alourdi ces sanctions. Elles peuvent atteindre désormais 20 millions d’euros ou 4 % du chiffre d’affaires mondial du responsable de traitement.

Quel est l'impact du RGPD sur l'adéquation des pays non membres ?

Le RGPD a introduit de nouveaux critères d’appréciation du niveau d’adéquation d’un pays non membre de l’UE, d’un secteur particulier dans ce pays ou d’une organisation internationale. Parmi ces critères:
  • le respect des droits de l'homme et des libertés fondamentales,
  • la pertinence des législations générale et sectorielles, notamment en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal,
  • l’accès des autorités publiques aux données personnelles,
  • les règles en matière de protection des données à caractère personnel et le transfert de ces données à un pays tiers ou une organisation internationale,
  • les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires mis à leur disposition,
  • la jurisprudence,
  • l’existence et le fonctionnement d’une autorité de contrôle indépendante,
  • les engagements internationaux pris par le pays et sa participation dans des systèmes multilatéraux ou régionaux

Notions à approfondir

  • Codes de conduite.
  • Certification.
  • Responsabilité (Accountability).
  • Protection dès la conception (Privacy by design) et par défaut (Privacy by default).
  • Analyse d’impact sur la vie privée (Privacy Impact Assessment –PIA-).
  • Cartographie des données (Data mapping).

En savoir plus

 
Une adresse email dédiée a été mise en place pour répondre à toutes vos demandes d'information à propos du réglement : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.