Le règlement général de protection des données de l’UE (GDPR) est le changement le plus important dans la réglementation de la protection des données depuis 20 ans

Voici les principaux éléments du règlement général sur la protection des données (GDPR)

Après quatre années de préparation et de débat, le GDPR a finalement été approuvé par le Parlement européen le 14 avril 2016. Date d’entrée en vigueur: le 25 mai 2018 – date à laquelle les organisations en situation de non-respect risquent de lourdes amendes.

Le règlement général européen sur la protection des données (GDPR) remplace la directive 95/46 / CE sur la protection des données et vise à harmoniser les lois sur la confidentialité des données à travers l’Europe. intimité. Les articles clés du GDPR, ainsi que des informations sur son impact commercial, peuvent être consultés sur cet article.

Questions fréquentes au sujet du GDPR

Quand le GDPR entre-t-il en vigueur?

Le GDPR a été approuvé et adopté par le Parlement européen en avril 2016. Le règlement entrera en vigueur après une période de transition de deux ans et, contrairement à une directive, il n’exige aucune législation habilitante à adopter par le gouvernement; ce qui signifie qu’il sera en vigueur en mai 2018.

À la lumière d’un «Brexit» incertain – je représente un contrôleur de données au Royaume-Uni et je veux savoir si je devrais continuer à planifier et à préparer le GDPR?

Si vous traitez des données sur des individus dans le cadre de la vente de biens ou de services à des citoyens d’autres pays de l’UE, vous devrez vous conformer au GDPR, que le Royaume-Uni conserve ou non le GDPR post-Brexit. Si vos activités sont limitées au Royaume-Uni, la position (après la période de sortie initiale) est beaucoup moins claire. Le gouvernement britannique a indiqué qu’il mettrait en place un mécanisme juridique équivalent ou alternatif. Nous espérons qu’une telle législation suivra en grande partie le GDPR, compte tenu du soutien apporté précédemment au GDPR par l’OIC et le gouvernement britannique en tant que norme efficace de protection de la vie privée, et du fait que le GDPR fournit une base de référence claire un accès continu au marché numérique de l’UE. (Ref: http://www.lexology.com/library/detail.aspx?g=07a6d19f-19ae-4648-9f69-44ea289726a0)

Qui est concerné par le GDPR?
Le GDPR s’applique non seulement aux organisations situées dans l’UE, mais il s’appliquera également aux organisations situées en dehors de l’UE si elles offrent des biens ou des services, ou surveillent le comportement des personnes concernées dans l’UE. Il s’applique à toutes les entreprises qui traitent et conservent les données personnelles des personnes concernées résidant dans l’Union européenne, quel que soit l’emplacement de l’entreprise.

Quelles sont les pénalités pour non-conformité?
Les organisations peuvent être condamnées à une amende pouvant aller jusqu’à 4% du chiffre d’affaires global annuel pour violation du GDPR ou 20 millions d’euros. C’est l’amende maximale qui peut être imposée pour les infractions les plus graves, par exemple, ne pas avoir le consentement du client suffisant pour traiter les données ou violer le noyau des concepts de confidentialité par conception. Il existe une approche progressive des amendes, par ex. une entreprise peut être condamnée à une amende de 2% pour ne pas avoir ses dossiers en ordre (article 28), ne pas avertir l’autorité de surveillance et la personne concernée d’une violation ou ne pas effectuer d’évaluation d’impact. Il est important de noter que ces règles s’appliquent à la fois aux contrôleurs et aux processeurs, ce qui signifie que les «nuages» ne seront pas exemptés de l’application GDPR.

Qu’est-ce qui constitue des données personnelles?
Toute information relative à une personne physique ou «sujet de données», qui peut être utilisée pour identifier directement ou indirectement la personne. Il peut s’agir d’un nom, d’une photo, d’une adresse e-mail, de coordonnées bancaires, de publications sur des sites de réseaux sociaux, d’informations médicales ou d’une adresse IP d’ordinateur.

Quelle est la différence entre un processeur de données et un contrôleur de données?
Un responsable du traitement est l’entité qui détermine les finalités, les conditions et les moyens du traitement des données à caractère personnel, tandis que le sous-traitant est une entité qui traite les données à caractère personnel pour le compte du responsable du traitement.

Les responsables du traitement des données ont-ils besoin d’un consentement «explicite» ou «non ambigu» à la base de données – et quelle est la différence?
Les conditions du consentement ont été renforcées, car les entreprises ne pourront plus utiliser des termes illisibles depuis longtemps, car la demande de consentement doit être faite sous une forme intelligible et facilement accessible, dans le but de traiter les données jointes à ce consentement – ce qui signifie qu’il doit être sans ambiguïté. Le consentement doit être clair et distinct des autres questions et fourni sous une forme intelligible et facilement accessible, en utilisant un langage clair et simple. Il doit être aussi facile de retirer son consentement que de le donner.Un consentement explicite n’est requis que pour le traitement de données personnelles sensibles – dans ce contexte, rien de moins que de «choisir» suffira. Cependant, pour les données non sensibles, un consentement «non ambigu» suffira.

Qu’en est-il des sujets de données de moins de 16 ans?
Le consentement parental sera nécessaire pour traiter les données personnelles des enfants de moins de 16 ans pour les services en ligne; Les Etats membres peuvent légiférer pour un âge inférieur de consentement, mais celui-ci ne sera pas inférieur à 13 ans.

Quelle est la différence entre un règlement et une directive?
Un règlement est un acte législatif contraignant. Il doit être appliqué dans son intégralité à travers l’UE, tandis qu’une directive est un acte législatif qui définit un objectif que tous les pays de l’UE doivent atteindre. Cependant, il appartient aux pays individuels de décider comment. Il est important de noter que le GDPR est un règlement, contrairement à la législation précédente, qui est une directive.

Mon entreprise a-t-elle besoin de nommer un délégué à la protection des données (DPD)?
Les OPH doivent être nommées dans le cas: (a) des autorités publiques, (b) des organisations qui effectuent un suivi systématique à grande échelle, ou (c) des organisations qui traitent à grande échelle des données personnelles sensibles (article 37). Si votre organisation ne tombe pas dans l’une de ces catégories, vous n’avez pas besoin de nommer un DPD.

Comment le GDPR affecte-t-il la politique entourant les violations de données?
Les règlements proposés entourant les violations de données concernent principalement les politiques de notification des entreprises qui ont été violées. Les violations de données qui peuvent présenter un risque pour les personnes doivent être notifiées à l’APD dans les 72 heures et aux personnes concernées sans retard injustifié.

Le GDPR va-t-il mettre en place un guichet unique pour la réglementation de la confidentialité des données?
Les discussions entourant le principe du guichet unique sont parmi les plus débattues et ne sont toujours pas claires car les positions debout sont très variées. Le texte de la Commission a une décision assez simple et concise en faveur du principe, le Parlement promeut également un APD principal et ajoute une plus grande implication des autres APD concernés, le point de vue du Conseil dilue encore plus la capacité du DPA principal. Une analyse plus approfondie du débat sur la politique de guichet unique peut être trouvée ici.

 

RGPD ou GDPR PRÉPAREZ-VOUS EN 13 ÉTAPES

RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES PRÉPAREZ-VOUS EN 13 ÉTAPES Le RGPD n’est bien entendu pas entièrement nouveau ! Bon nombre de ses concepts et principes fondamentaux sont déjà présents dans l’actuelle loi vieprivée belge. Donc...

lire plus

Employeur, êtes-vous prêt pour l’arrivée du RGPD ?

Employeur, êtes-vous prêt pour l’arrivée du RGPD ? Le Règlement général sur la protection des données (ci-après, le RGPD) entrera en vigueur dans toute l’Union européenne, et donc également en Belgique, le 25 mai 2018. Cette réglementation est également...

lire plus

GDPR: Le Process

Le processus législatif ordinaire en ce qui concerne la législation sur la vie privée et la protection des données. Le règlement général sur la protection des données est actuellement soumis à la procédure législative ordinaire au sein des organes législatifs...

lire plus

GDPR: Les clés

Un aperçu des principaux changements sous GPDR et de leur différence par rapport à la directive précédente L'objectif du GDPR est de protéger tous les citoyens de l'UE contre la violation de la vie privée et les violations de données dans un monde de plus en plus axé...

lire plus

Des sujets controversés

Une vue d'ensemble des sujets controversés probablement discutés pendant les négociations de Trilogue, y compris la position de chaque corps de l'UE de leurs projets respectifs adoptés du GDPR Bon nombre des points clés de la réglementation sont clairs et documentés...

lire plus