Le nouveau Règlement Général sur la Protection des Données (UE) 2016/679 (le « RGPD ») va entrer en application le 25 mai 2018. Il s’adressera à toutes les entreprises établies au sein de l’UE, ou en dehors si elles ciblent les résidents de l’UE par le profilage ou proposent des biens et services à des résidents européens, effectuant de la collecte, du traitement et du stockage de données personnelles dont l’utilisation pourra permettre d’identifier une personne de manière directe ou indirecte.

Si certains le qualifient de « révolution radicale » en raison des changements substantiels apportés aux principes déclarés dans la Directive Européenne 95/45/CE de 1995, le RGPD tend surtout à moderniser la législation de l’UE concernant la protection des données personnelles et à la soumettre aux opérateurs hors UE. Pour autant les principes fondamentaux restent applicables, certains droits et devoirs nouveaux apparaissent et les procédures administratives sont simplifiées.

Pour se mettre en conformité avec le RGPD, 7 étapes de préparation sont nécessaires :

  1. S’informer sur les changements à venir
  2. Identifier vos traitements de données personnelles
  3. Désigner un délégué à la protection des données (si applicable)
  4. Établir un plan d’action
  5. Identifier et gérer les risques
  6. Organiser les processus internes
  7. Documenter la conformité

Sans obliger les entreprises à repenser de fond en comble leur business model, elles devront utiliser les 5 prochains mois pour remplir leurs obligations et se mettre en conformité là où cela sera nécessaire.

Trois évolutions majeures sont toutefois à signaler.

En premier lieu, le RGPD modifie certaines obligations pesant sur les responsables du traitement de données en matière de consentement. À cette fin, il sera exigé dès le 25 mai prochain, un consentement « positif » de la personne concernée. Cette nouvelle exigence vise à abolir le système de l’opt-out, qui permettait d’obtenir le consentement par l’absence d’opposition de la personne concernée, au profit du système de l’opt-in, qui exige un accord exprès obtenu le plus souvent en cochant une case informant la personne concernée du traitement de ses données.

En deuxième lieu, l’article 17 consacre le droit à l’effacement, plus connu sous le nom de « droit à l’oubli ». Les personnes concernées auront désormais la possibilité d’exiger de la part du responsable du traitement la suppression, dans les meilleurs délais, de leurs données à caractère personnel pour 6 motifs tels que la disparition de leur consentement.

En dernier lieu, le RGPD renforce la transparence dans le traitement des données à caractère personnel en exigeant le recueil d’un consentement « éclairé » de la personne concernée par le traitement qui devra être informée, préalablement à son consentement, de l’ensemble des informations concernant le traitement des données, ses fins et les droits dont elle bénéficie. Une manière de fournir des informations en toute transparence consiste à utiliser des notifications «push» & «pull». Les notifications push impliquent la fourniture d’informations à la personne concernée, tandis que les notifications «pull» facilitent l’accès à l’information. Néanmoins, il existe un certain nombre de cas pouvant échapper à cette obligation de transparence, en particulier lorsque les données à caractère personnel n’ont pas été obtenues auprès de la personne concernée.

Menu