Accueil > Entreprises, emploi, économie > Accompagnement des entreprises > Intelligence économique > Un règlement européen pour protéger les données personnelles

Un règlement européen pour protéger les données personnelles

| Publié le 13 mars 2018 | Dernière mise à jour le 19 mars 2018
Réduire la taille de caractères Grossir la taille des caractères
Imprimer cette page
Envoyer a un ami
facebook twitter

Le « Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », appelé plus communément Réglement général sur la protection des données personnelles ou RGPD, remplace la directive de 1995 qui a donné lieu à des différences d’interprétation significatives entre les Etats de l’Union européenne.
Le RGPD vise à unifier et à simplifier les règles en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel et à renforcer les droits des citoyens au sein de l’Union européenne.

Qui est concerné ?

Ce règlement sera appliqué directement sur tout le territoire de l’Union européenne à compter du 25 mai 2018. Toutes personnes physiques ou morales (entreprises, administrations et associations) ont obligation d’être en conformité avec le RGPD d’ici cette date, dès lors qu’elles possèdent et traitent des fichiers contenant des données à caractère personnel de résidents européens quelle que soit leur nationalité. Les sous-traitants qui traitent des données à caractère personnel pour le compte du responsable de traitement sont aussi concernés.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle se définit comme toute information se rapportant à une personne physique identifiée et identifiable (nom, numéro d’identification, données de localisation, données de santé, revenus, centres d’intérêts, photo, enregistrement sonore, adresse IP…). Ces données peuvent concerner tout type d’individu : employés, clients, partenaires ou prospects par exemples.

Quelles sont les principales obligations des entreprises ?

  • Cartographier l’ensemble des données personnelles dont dispose l’entreprise et leurs traitement et déterminer leurs finalités et leur durée ; créer un registre des activités de traitement ;
  • désigner un Délégué à la protection des données (Data Protection Officer –DPO) qui aura des missions d’information, de conseil et de contrôle interne ;
  • prioriser les actions à mener au regard de la valeur de l’information détenue et des risques sur les droits et libertés des personnes ;
  • réaliser une étude d’impact avant la mise en place d’un traitement des données, afin de déterminer les caractéristiques du traitement, les risques et les mesures adoptées ;
  • revoir les contrats de sous-traitance informatique et de gestion des données ;
  • recueillir un consentement clair et explicite des individus quant à la collecte et au traitement de leurs données (sauf cas prévues par le RGPD ou par la loi) ;
  • sécuriser et notifier les violations de données personnelles (données numérisées et sous format papier) : adopter une stratégie de sécurité informatique ;
  • créer et maintenir un registre des traitements ;
  • encadrer les transferts de données hors de l’Union européenne ; un tel transfert ne peut avoir lieu que si le pays tiers a été reconnu pat la Commission européenne comme « assurant un niveau adéquat de protection des données, ou en cas d’autorisation par la CNIL ».

Quelles nouveautés pour les entreprises ?

  • Le respect des obligations en matière de données personnelles est partagé entre plusieurs responsables pour un même traitement, notamment avec les sous-traitants ;
  • la protection des données s’impose désormais dès la conception de leur traitement : « privacy by design », « privacy by default », « security by design » ;
  • principe de responsabilité : renversement de la charge de la preuve, les responsables du traitement doivent démontrer leur conformité au règlement ;
  • ces nouvelles obligations impliquent un pilotage au niveau de la gouvernance même de l’entreprise

Quelles opportunités pour les entreprises ?

  • Instaurer une véritable politique de gestion des traitements des données et pour une meilleure connaissance des clients, anticipation et personnalisation de leurs attentes pour une meilleure fidélisation ;
  • se doter d’une stratégie de sécurité des systèmes d’information permettant de protéger les informations stratégiques de l’entreprise ;
  • augmenter la valeur de l’information (et donc de l’entreprise) contenue dans les fichiers ou bases de données de l’entreprise ;
  • une meilleure image pour l’entreprise : protection des données des clients, responsable, soucieuse de la vie privée et des droits fondamentaux des personnes, bonne réputation, confiance, etc.
  • se prémunir contre les contentieux, éviter les sanctions.

Quelles sanctions en cas de non-conformité ?

En cas de méconnaissance des dispositions du règlement, les entreprises pourront faire l’objet de sanctions administratives importantes. Selon la catégorie de l’infraction, les amendes administratives peuvent s’élever jusqu’à 20 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

En savoir plus

Pour de plus amples informations, il convient de consulter le site internet de la Commission nationale de l’informatique et des libertés (CNIL), qui fournit des informations utiles pour préparer à la mise en œuvre de ce règlement européen :
https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
https://www.cnil.fr/fr/comment-se-preparer-au-reglement-europeen-sur-la-protection-des-donnees

Vos contacts à la Direccte

  • Karine Amieva-Camos pour les départements 33, 64, 24, 47, 40 ; courriel 05 56 93 69 98
  • Henri Bois pour les départements 87, 23, 19 ; courriel 05 87 50 26 70
  • Marc Lapierre pour les départements 79, 16, 86 17 ; courriel 05 49 50 20 64

Copyrigth : Getty Images

--

->Articles du même thème :

-- --

Webmestre | Légifrance | Mentions légales | Services Publics