LE REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES (RGPD)

À partir du 25 mai 2018, la législation actuelle sur la protection des données sera remplacée par le (RGPD). Avec cela, des règles plus strictes concernant les aspects de la protection des données, telles que la manière dont les personnes concernées acquièrent le consentement, imposent des obligations supplémentaires non seulement aux responsables du traitement des données mais également aux responsables du traitement des données. Toutes les entreprises de l’Europe devront se conformer au RGPD au moment de son entrée en vigueur, ce qui signifie que le temps presse, mais nous pouvons vous aider.

1. RGPD : un résumé

1.1 Le RGPD est une législation de l'Union Européenne qui comporte trois volets :

  • Mettre à jour la loi sur la protection des données afin qu'elle reflète de manière adéquate une société moderne de plus en plus numérisée ;
  • Établir un ensemble de règles que toutes les organisations applicables doivent respecter, remplaçant de différentes manières toutes les lois nationales qui ont mis en œuvre la précédente directive sur la protection des données ; et
  • Renforcer de manière significative les droits d'une personne concernée de l'UE en ce qui concerne la manière dont ses données personnelles sont collectées et traitées.

1.2 Les données personnelles sont définies comme toute information relative à une personne physique identifiée ou identifiable et sont divisées en deux catégories : les données personnelles et les catégories particulières de données personnelles. Les catégories particulières de données personnelles comprennent les origines raciales ou ethniques, les opinions politiques, les croyances religieuses, les données génétiques et biométriques, l'orientation sexuelle et les données sur la santé. Le RGPD indique clairement que les identifiants en ligne peuvent être classés comme des données personnelles, ce qui inclut les adresses IP, ce qui démontre que cette législation vise à protéger les données à l'ère numérique. Toutes les organisations qui collectent, utilisent et stockent les données personnelles de tout citoyen de l'UE relèvent de la compétence du PGDR, même si cette organisation n'est pas basée dans l'UE.

2. Quelques changements clés

Le RGPD introduit de nombreux changements à la législation actuelle sur la protection des données, mais certains des principaux sont énumérés ci-dessous :

2.1 Principes de protection des données : le RGPD a ses propres principes qui constitueront la base du traitement légal des données personnelles. Beaucoup d'entre eux sont en grande partie similaires aux principes actuels en vertu de la Loi sur la protection des données de 1998 (DPA), mais il existe plusieurs différences et, surtout, l'introduction du principe de « responsabilité ». Cela exige que les organisations soient non seulement conformes au RGPD, mais aussi capables de démontrer la conformité.

2.2 Portée territoriale : la compétence du RGPD s'étend au-delà de celle de la directive actuelle sur la protection des données. Bien qu'il s'agisse d'un règlement de l'UE, il s'applique à toutes les organisations qui traitent les données personnelles de tout citoyen de l'UE, quel que soit le lieu où se trouve cette organisation. Cela inclut les pays situés en dehors de l'Espace économique européen.

2.3 Motifs de traitement : Le RGPD introduit six motifs légitimes sur lesquels les organisations peuvent potentiellement s'appuyer pour s'assurer que leur traitement des données personnelles est légal :

  • Consentement : lorsque la personne concernée a donné son consentement au traitement pour un ou plusieurs buts spécifiques. NB - il existe des règles spécifiques concernant le consentement et le marketing direct et nous pouvons vous conseiller à ce sujet ;
  • Performance du contrat : le traitement est nécessaire pour exécuter un contrat auquel la personne concernée est partie ou pour prendre des mesures à la demande de la personne concernée avant la conclusion d'un contrat ;
  • Conformité légale : le traitement est nécessaire pour se conformer à une obligation légale ;
  • Intérêts vitaux : le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique ;
  • Intérêt public : le traitement est nécessaire par rapport à l'intérêt public ou dans l'exercice de l'autorité publique. Ceci est le plus applicable aux organismes publics et aux autorités ;
  • Intérêts légitimes : le traitement est nécessaire aux fins des intérêts légitimes poursuivis par l'organisation ou un tiers, sauf si ces intérêts sont outrepassés par les intérêts, les droits et les libertés de la personne concernée.

3. Sanctions pour les infractions

 3.1 L'un des changements les plus importants introduits par le RGPD est l'amende imposée en cas de violation de la réglementation. Dans le cadre du RGPD, le maximum passe à 20 millions d'euros, soit 4% du chiffre d'affaires annuel global, selon le montant le plus élevé.

3.2 En raison de l'augmentation considérable de ce pouvoir d'exécution, il est essentiel que votre organisation devienne conforme le plus rapidement possible et continue de maintenir cette conformité à l'avenir.

Comment RGPD affecte-t-il les entreprises non européennes ?

Le RGPD couvre les entreprises opérant dans l'UE. Mais il y a des questions sur les entreprises résidant en dehors du bloc : par exemple, que signifie exactement la réglementation pour les entreprises basées aux Maroc ?

La réponse courte est la suivante : le règlement affectera les entreprises tant à l'intérieur qu'à l'extérieur de l'UE. En effet, toute entreprise traitant des données d'entreprises, de résidents ou de citoyens de l'UE devra se conformer au RGPD.

Le guide indique clairement que toutes les organisations qui traitent de telles données seront tenues de se conformer, quelle que soit leur juridiction.

Tenant compte de cela, "Les organisations en dehors de l'Europe doivent d'abord décider si elles sont actuellement - ou prévoient de - mener des affaires dans la région. Une fois qu'ils ont répondu à cette question, le prochain port d'escale dissèque leur modèle d'affaires prévu pour comprendre s'ils traitent des données de citoyens et si oui, quelles sont ces données.

Cela nécessite un examen attentif : même si une entreprise n'a pas une présence européenne, elle devra encore comprendre l'impact deRGPD si elle traite les données personnelles d'un résident de l'UE en relation avec les biens et services offerts à cette personne.

Un autre facteur pouvant influencer la conformité d'une entreprise avec le RGPD est la « surveillance du comportement » des individus au sein de l'UE.

Les lignes directrices du RGPD le définissent comme « lorsque les individus sont suivis sur Internet ». Ceci inclut l'utilisation potentielle de techniques de profilage pour prendre des décisions sur la personne concernée, ou pour analyser ou prédire ses préférences personnelles, ses comportements et ses attitudes.

Une autre chose qui pourrait ne pas être évidente est que le RGPD s'appliquera aux entreprises de traitement de données non-UE. Cela inclut les fournisseurs de services de cloud stockant ou hébergeant les informations personnelles des personnes concernées dans l'UE.

La mise à jour de la réglementation relative à la protection des données dépassera donc largement les frontières de l'UE. Comme le soulignent les experts, de nombreux facteurs influent sur le respect des règles par les entreprises hors UE. Mais dans un monde de plus en plus numérique, la plupart des grandes entreprises traitent les données de l'UE sous une forme ou une autre.

Et les entreprises n'ont pas beaucoup de temps pour s'assurer qu'elles se conforment à la mise à jour, qui sera mise en place en mai 2018. Que devraient donc faire les entreprises aujourd'hui pour se conformer au règlement général sur la protection des données ?

De nombreuses entreprises ne seront pas entièrement conformes dans les délais. Mais, il est important de commencer à jeter les bases maintenant. "Sensibiliser en interne et faire participer les principales parties prenantes". "Dans ce cadre, regardez comment vous traitez actuellement les données de ceux qui résident dans l'UE."