Un nouveau règlement européen sur la protection des données personnelles (RGP) va entrer en application dans l’ensemble des Etats de l’UE dès le 25 mai 2018.
Ce règlement a pour objectif de renforcer les droits des personnes et de responsabiliser les responsables de traitement.
Il prévoit notamment la suppression des formalités préalables auprès de la CNIL.
Ainsi, le responsable de traitement doit prendre en compte les contraintes de protection des données personnelles qu’il collecte dès la conception et documenter et tenir un registre récapitulant les traitements qu’il met en place. Si le traitement requiert un consentement, alors le responsable doit être en mesure de fournir la preuve que la personne a bien consenti.
Mais en attendant l’entrée en vigueur du nouveau règlement, la déclaration simplifiée reste obligatoire.
Les autres apports de ce nouveau règlement sont principalement :
– Désignation d’un délégué à la protection des données :
o Obligatoire à compter du 25 mai 2018 : pour les organismes publics et pour les entreprises dont l’activité de base mène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.
– Consentement et finalités de traitement : le nouveau règlement européen exige des responsables de traitement la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données personnelles.
Nouveaux droits pour l’utilisateur :
o Portabilité des données afin de permettre aux personnes concernées de récupérer leurs données sous une forme aisément réutilisable pour pouvoir les transférer à un tiers ;
o Nouvelles dispositions pour les mineurs : l’information les concernant doit être rédigée en terme clairs et simples pouvant être compris par le mineur de moins de 16 ans (bien que le consentement du titulaire de l’autorité parentale doive être recueilli jusqu’aux 16 ans de l’enfant) ;
o Création d’un droit à réparation ;
o Obligation de sécurité et notification des violations (sous 72 heures auprès de la CNIL) de données personnelles ;
o Mise en place d’une analyse d’impact avant la mise en œuvre d’un traitement de données pour vérifier la faisabilité du traitement au regard du nouveau règlement.
Ainsi, préalablement à l’entrée en vigueur du RGPD, et conformément aux recommandations de la CNIL, il convient de :
– Réaliser l’inventaire des traitements de données personnelles mis en œuvre ;
– Évaluer leurs pratiques et la mise en place des procédures (notification des violations de données, gestion des réclamations et des plaintes, etc.) ;
– Identifier les risques associés aux opérations de traitement et la prise en compte des mesures nécessaires à leur prévention ;
– Maintenir une documentation assurant la traçabilité des mesures.