Le 14 avril 2016, le parlement européen a approuvé le Règlement Général sur la Protection des Données ("Règlement" ou "GDPR"). Ceci met fin à un processus législatif qui a commencé il y a plus de quatre années. Le nouveau Règlement modifiera considérablement le traitement des données personnelles dans votre entreprise.
Qu'est-ce qui va changer avec le Règlement ?
Le Règlement remplacera la directive 95/46/CE existante sur la protection des données et ainsi il modifiera substantiellement le cadre juridique pour la protection des données.
Les nouveautés du Règlement consistent entre autres en:
- L'effet extraterritorial aux sociétés non-européennes qui offrent des biens ou des services dans l'UE;
- L'accent sur la responsabilité des entreprises qui traitent des données personnelles;
- Des obligations indépendantes pour les processeurs de données personnelles;
- Des droits améliorés pour les personnes concernées: entre autres le droit à l'oubli, le droit à la portabilité des données, ...
- L'obligation de signaler des fuites de données;
- L'obligation de désigner un délégué à la protection des données dans certaines circonstances;
- L'introduction des principes de privacy by design et privacy by default;
- …
Last but not least … le Règlement permet de sanctionner les contrevenants aux nouvelles règles avec des amendes allant jusqu'à 4% du chiffre d'affaires annuel global de l'entreprise.
Quand est-ce que le Règlement entre en vigueur ?
Le Règlement sera publié prochainement au Journal officiel de l'Union européenne et entrera en vigueur 20 jours après cette publication. Les entreprises auront alors une période de deux ans, soit jusqu'en 2018, pour se conformer au Règlement.
Ce que vous devez faire en tant que société
Les entreprises feraient bien de procéder à un gap analysis le plus tôt possible afin d'évaluer leurs programmes de protection des données. Cela exige non seulement un mapping de toutes les données au sein de l'entreprise, mais aussi de tous les canaux par lesquels l'entreprise communique avec les personnes concernées (privacy policies, site web, contrats, bulletins, outils e-commerce, ...) et des procédures internes (procédure sur le plan des fuites de données, ...). Après une telle analyse, les mesures qui permettent à l'entreprise d'être en conformité avec le Règlement en 2018 peuvent être identifiées.