Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018 et a profondément modifié les règles encadrant la collecte, le traitement et la conservation des données personnelles au sein de l’Union européenne. Les entreprises doivent désormais faire face à de nouvelles responsabilités et obligations pour se conformer à cette législation complexe et garantir la protection des droits et libertés des personnes concernées. Cet article a pour objet d’examiner ces nouvelles responsabilités ainsi que les conséquences juridiques et pratiques pour les sociétés.
Les principes fondamentaux du RGPD
Le RGPD repose sur sept principes fondamentaux qui guident l’utilisation des données personnelles par les entreprises : la licéité, la loyauté, la transparence, la limitation des finalités, la minimisation des données, l’exactitude, la limitation de la conservation et l’intégrité et confidentialité. Ces principes doivent être respectés tout au long du cycle de vie des données personnelles, depuis leur collecte jusqu’à leur suppression définitive.
La mise en place d’un système de gouvernance interne
Pour se conformer au RGPD, les entreprises doivent mettre en place un système de gouvernance interne qui permette d’assurer une prise en compte systématique et rigoureuse de leurs obligations. Ce système doit notamment inclure :
- La désignation d’un délégué à la protection des données (DPO) : cette personne est chargée de veiller à la conformité aux règles du RGPD et doit être en mesure de fournir des conseils et des orientations sur les meilleures pratiques en matière de protection des données.
- La tenue d’un registre des traitements : ce document doit recenser l’ensemble des traitements de données personnelles réalisés par l’entreprise et préciser, pour chacun, leur finalité, les catégories de données concernées, les destinataires des données et les durées de conservation.
- La réalisation d’études d’impact sur la protection des données (EIPD) : ces études doivent être menées pour les traitements présentant un risque élevé pour les droits et libertés des personnes concernées afin d’évaluer leur conformité au RGPD et d’identifier les mesures à mettre en œuvre pour réduire ces risques.
Le renforcement du consentement et des droits des personnes concernées
Le RGPD impose aux entreprises de recueillir le consentement libre, éclairé et spécifique des personnes concernées pour le traitement de leurs données personnelles. Ce consentement doit être exprimé par une déclaration écrite ou un acte positif clair, tel que le clic sur un bouton ou la coche d’une case. De plus, il doit être possible pour les personnes concernées de retirer leur consentement à tout moment.
Les entreprises sont également tenues de respecter et faciliter l’exercice des droits reconnus par le RGPD aux personnes concernées, tels que :
- Le droit d’accès : les personnes concernées ont le droit de demander l’accès à leurs données personnelles, ainsi que des informations sur les traitements auxquels ces données sont soumises.
- Le droit de rectification : les personnes concernées peuvent demander la correction des données inexactes ou incomplètes les concernant.
- Le droit à l’effacement (ou droit à l’oubli) : dans certaines circonstances, les personnes concernées peuvent exiger la suppression de leurs données personnelles.
- Le droit à la limitation du traitement : les personnes concernées peuvent demander la suspension du traitement de leurs données dans certaines situations.
- Le droit à la portabilité des données : les personnes concernées ont le droit d’obtenir une copie de leurs données dans un format structuré et interopérable, et de transférer ces données à un autre responsable du traitement.
- Le droit d’opposition : les personnes concernées peuvent s’opposer au traitement de leurs données pour des raisons tenant à leur situation particulière.
L’obligation de notification en cas de violation de données
Lorsqu’une violation de données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, le RGPD impose aux entreprises d’en informer sans délai l’autorité de contrôle compétente (la CNIL en France) et, le cas échéant, les personnes concernées elles-mêmes. Cette notification doit contenir une description de la violation, les conséquences possibles et les mesures prises ou envisagées pour y remédier.
Les sanctions en cas de non-conformité
Le RGPD prévoit des sanctions administratives pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pour les entreprises qui ne respecteraient pas leurs obligations. Les autorités de contrôle ont également la possibilité d’ordonner la suspension ou l’interdiction des traitements litigieux et de prononcer des injonctions à l’encontre des responsables du traitement et des sous-traitants.
En outre, les personnes concernées ont le droit d’introduire une action en justice pour obtenir réparation du préjudice qu’elles estiment avoir subi du fait d’une violation du RGPD. Les actions collectives sont également possibles, notamment par l’intermédiaire d’organismes représentatifs.
Face aux nouvelles responsabilités et obligations imposées par le RGPD, les entreprises doivent donc s’adapter et mettre en place les mesures nécessaires pour assurer la protection des données personnelles qu’elles traitent. Il est essentiel de se doter d’une gouvernance interne robuste, de renforcer le consentement et le respect des droits des personnes concernées, ainsi que de mettre en œuvre une politique de gestion des violations de données afin de limiter les risques juridiques et financiers liés à la non-conformité.