RGPD

Le RGPD (Règlement Général sur la Protection des Données) ou GDPR ( General Data Protection Regulation) entré en vigueur le 25 mai 2018, encadre le traitement des données personnelles sur le territoire de l’UE. Cette nouvelle réglementation qui s’inscrit dans la continuité de la loi informatique et liberté dont la CNIL est la garante, va encore plus loin que les dispositions existantes jusqu’alors.

Il met en place des règles renforçant le contrôle et la maîtrise par les personnes de l’utilisation qui peut être faite de leur données personnelles, ceci, afin de protéger leur vie privée et de limiter les violations encore trop présentes en la matière.

Les sociétés étrangères qui y échappaient jusqu’au 25 mai 2018, sont désormais concernées et doivent comme toutes sociétés européennes mettre en oeuvre le RGPD dès lors qu’elles traitent des données de résidents de l’UE.

l Qui est concerné par le RGPD ?

Le RGPD s’applique à tout organisme (y compris les sous-traitants) traitant des données personnelles dès lors que l’organisme :

  • Est établi sur le Territoire de l’UE ou
  • Déploie une activité s’adressant directement aux résidents européens ;

Ainsi, une société établie en France qui exporte ses produits en Inde, pour ses Clients indiens doit respecter le RGPD.

De la même manière une société établie aux US qui exploite un site de e-commerce proposant des produits à la vente à des consommateurs résidents en France doit également respecter le RGPD.

l Les principaux apports du RGPD

Le RGPD instaure à la charge du responsable des traitement et du sous-traitant, de nombreuses obligations visant à accroitre la transparence, la licéité et la sécurité des traitements qu’ils mettent en œuvre.

Est considérée comme responsable de traitement la personne physique ou morale qui détermine les finalités et les moyens du traitementappliqués à des données à caractère personnel.

Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le compte d’un autre organisme(le « responsable de traitement » dans le cadre d’un service ou d’une prestation

Le RGPD pose le principe d’un traitement licite et loyale. Celui-ci se manifeste dans le recueil du consentement des personnes concernées de même que dans les finalités mis en œuvre.

Ainsi, le consentement licite doit remplir au moins une des conditions suivantes :

  • La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
  • Le traitement entre dans le cadre d’un rapport contractuelle dont la personne concernée est partie ( contrat, CGU, accord..)
  • Le traitement découle du respect d’une obligation légale qui s’impose au Responsable de traitement ( l’intérêt légitime).

La demande de consentement pour être licite doit être présentée sous une forme qui la distingue clairement des autres questions. Elle doit être formulée en des termes clairs, simples, compréhensibles. Le consentement doit être aussi facilement retirable qu’il a été donné.

Les finalités, c’est-à-dire les objectifs pour lesquels les données sont collectées doivent être déterminées. A chaque traitement doit être assigné un but qui doit être explicité par le responsable de traitement, aux personnes concernées et ne pas être détourné ultérieurement pour une utilisation pour d’autres finalités. Les données collectées doivent servir l’objectif prévu.

Le Règlement européen renforce les obligations de transparence du Responsable des traitements au profit des personnes dont les données sont traitées.

Le Responsable des traitements doit ainsi, fournir aux personnes concernées, avant chaque collecte, une information claire et complète sur les traitementsqu’il opère (le type de données collectées, finalités, transfert vers un pays hors UE, les personnes qui ont accès aux données, la manière dont il sécurise leurs données..).

Le responsable de traitement doit appliquer, dans le cadre des traitements qu’il met en œuvre, le principe de minimisation des traitements en ne collectant auprès des personnes que les données pertinentes et strictement nécessaires à l’objectif poursuivi (la finalité).

Le responsable de traitement doit appliquer, dans le cadre des traitements qu’il met en œuvre, le principe de minimisation des traitements en ne collectant auprès des personnes que les données pertinentes et strictement nécessaires à l’objectif poursuivi (la finalité).

Le responsable de traitement doit appliquer, dans le cadre des traitements qu’il met en œuvre, le principe de minimisation des traitements en ne collectant auprès des personnes que les données pertinentes et strictement nécessaires à l’objectif poursuivi (la finalité).

Le Règlement européen renforce l’obligation de sécurité des données personnelles en imposant au Responsable de traitement la mise en place de traitements garantissant la sécuritédes données à caractère personnel (comportant la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle), par la mise place de mesures techniques ou organisationnelles appropriées.

Applicable notamment aux sous-traitant qui est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité, le principe de Privacy By Designimpose de prendre en compte l’objectif de protection des données et de la vie privée dès la conception de leur service ou de leur produit.

Il s’agit d’offrir aux utilisateurs une garantie d’un traitement parfaitement sûr et privilégiant une collecte minimale de données.

Le principe de Privacy By Defaultvise à garantir aux personnes une protection de leurs données personnelles et de leur vie privée mise en œuvre automatiquement sans qu’une action de leur part soit nécessaire.

Le RGPD instaure un principe de responsabilité à la charge du responsable du traitement qui est responsable du respect de ces obligations au titre du RGPD et doit être en mesure de le démontrer.

SNJ Avocat vous accompagne

Les violations des dispositions du Règlement européen étant sanctionnées par des amendes administratives pouvant s’élever jusqu’à 20 000 000 EURou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuelmondial du total de l’exercice précédent (le montant le plus élevé étant retenu), les entreprises doivent désormais se mettre en conformité.

Le Cabinet SNJ Avocat vous accompagne dans votre mise en conformité au RGDP par une assistance adaptée à votre taille, votre activité et le degré de risque induit par votre activité.

Le Cabinet vous assiste dans :

  • L’examen ou la mise en place de vos registres de traitement ;
  • L’analyse d’impact à mettre en œuvre avant les traitements jugés à risque ;
  • La formation de vos équipes opérationnelles à la compréhension des règles issues du RGPD ;
  • La mise à jour de vos contrats conformément au RGPD ;
  • La mise en place de vos contrats de sous-traitance conformément au RGPD.