RGPD : Nouveau Règlement européen sur la protection des données personnelles

Le Règlement général sur la protection des données dit RGPD ou GDPR  (General data protection regulation) du 27 Avril 2016 doit entrer en vigueur le 25 Mai 2018. Ce nouveau règlement répond au grand enjeu numérique qui transforme radicalement notre société.

Le but du RGPD est de responsabiliser tous les acteurs agissant en Europe tout en facilitant la transition numérique. Ce règlement formalise davantage le traitement des données personnelles par les entreprises.

La réforme poursuit trois objectifs :

  • Renforcer les droits des personnes
  • Responsabiliser les acteurs traitant des données
  • Crédibiliser la régulation (règlement européen sans adaptation par pays, sanctions renforcées, coopération renforcée des autorités de protection des données)

Quels sont les changements ?

Pour l’utilisateur :

  • L’utilisateur doit être informé de l’usage de ses données et octroyer son consentement pour le traitement ou s’y opposer. L’information sur l’usage des données doit être claire et non ambiguë.
  • L’utilisateur aura le droit à la portabilité, c’est-à-dire, le droit de récupérer ses données fournies sous forme réutilisable pour pouvoir les transférer ensuite à un tiers.
  • Les données des mineurs de moins de 16 ans doivent être rédigées en des termes simples et clairs pour que l’enfant puisse comprendre. Le consentement sera recueilli auprès du titulaire de l’autorité parentale. A sa majorité, le consentement donné pourra être retiré et les données effacées.
  • L’utilisateur aura le droit à des réparations des dommages matériel ou moral dus à une violation du règlement
  • Des actions collectives pourront être menées

Pour l’entreprise :

  • L’entreprise devra prouver sa conformité à tout moment. Elle doit créer et mettre à jour un registre descriptif pour lister les différents traitements des données.
  • Le règlement introduit également le devoir de notifier les failles de sécurité aux autorités et personnes concernées dans les 72 heures après avoir pris connaissance des faits.
  • L’obligation de nommer un délégué à la Protection des données est soumise à certaines conditions :
    • Le responsable de traitement appartient au secteur public,
    • L’activité principale amène un suivi régulier et systématique des personnes à grande échelle ou amène le responsable à traiter des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Pour mettre en place le registre descriptif, aidez-vous de votre manuel cabinet. Vous devrez par la suite ajouter un certain nombre de clauses à compléter dans vos lettres de mission, dans vos contrats de travail, règlement intérieur et les différents documents internes tel que la charte informatique…

Comment être prêt ?

Pour vous aider à vous préparer au Règlement Européen, le site de la CNIL a mis en place 6 étapes clés pour être prêt pour le 25 Mai 2018 :

 

 Les petits + :

  • Même si vous n’êtes pas concerné pour la nomination d’un délégué à la protection des données, nous vous le conseillons. Ainsi, vous pourrez vous référer auprès de cette personne pour toute question sur le sujet et il sera garant du respect du règlement.
  • Mener un audit sur tous les contrats de vos fournisseurs/ sous-traitants : Envoyer une lettre / un email pour savoir si votre fournisseur a pris en compte le nouveau règlement.

Ce règlement européen d’application directe doit néanmoins encore faire l’objet de travaux d’adaptation ou de précisions par les organes nationaux, en l’occurrence, en France, la Commission Nationale Informatique et Libertés.

Le Groupe ISAGRI auquel EIC appartient reste en veille active avec les acteurs institutionnels du dossier pour prendre en compte les éventuelles précisions qui seraient ou seront apportées.

 

Les Risques / Les Sanctions

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives. Les autorités peuvent :

  • Octroyer un avertissement
  • Mettre en demeure l’entreprise
  • Limiter temporairement ou définitivement un traitement
  • Suspendre les flux des données
  • Ordonner la limitation, la rectification ou l’effacement des données
  • Donner l’obligation de satisfaire aux demandes d’exercice des droits des personnes

Les autorités ont également à leur disposition la possibilité d’octroyer des amendes administratives. Selon la catégorie de l’infraction, l’amende peut être de 10 ou 20 millions d’euros ou entre 2% et 4% du chiffre d’affaires annuel mondial.

Darty en a fait récemment les frais avec une amende de 100 000 euros pour un formulaire non conforme.

 

Nous vous invitons également à visionner le Talk du 30 Novembre 2017 organisé par l’Ordre des experts-comptables de la région Paris Ile-de-France et la Compagnie régionale des commissaires aux comptes de Paris :

L’Ordre des experts-comptables région Paris Ile-de-France et la Compagnie régionale des commissaires aux comptes de Paris ont consacré leur sixième émission du Talk, le 30 novembre 2017, au Règlement Général sur la Protection des Données. A cette occasion, Laurent Benoudiz, président de l’Ordre des experts-comptables région Paris Ile-de-France était entouré de trois spécialistes pour répondre aux questions des confrères franciliens. Sophie Nerbonne, directrice de la conformité à la CNIL, Maître Corinne Thierache, avocat au Barreau de Paris, responsable des départements propriété intellectuelle et technologies de l’information et de la communication et Serge Yablonsky, expert-comptable et commissaire aux comptes, co-président du groupe de travail Audit Informatique de CRCC de Paris, se sont relayés pendant 1 heure pour éclairer les internautes sur ce nouveau règlement européen qui entrera en application le 25 mai 2018.

Lien vers la vidéo : https://www.youtube.com/watch?v=Qplg2Idxhf8&feature=youtu.be

 

Pour plus d’informations, n’hésitez pas à vous rendre sur le site de la CNIL.

 

Sources :

https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

http://www.crcc-paris.fr/sites/default/files/fichier/telechargement/guide_audit_def_11h46.pdf

https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

https://apar-leblog.fr/APAR-LE-BLOG/Articles/17-12-20-OEC-IDF-CRCC-Paris-Le-Talk-6e

Laisser un commentaire