Un aperçu des principaux changements sous GPDR et de leur différence par rapport à la directive précédente

L’objectif du GDPR est de protéger tous les citoyens de l’UE contre la violation de la vie privée et les violations de données dans un monde de plus en plus axé sur les données, très différent du moment où la directive de 1995 a été adoptée. Bien que les principes clés de la confidentialité des données soient toujours conformes à la directive précédente, de nombreux changements ont été proposés aux politiques de réglementation; Les points clés du GDPR ainsi que des informations sur les impacts qu’il aura sur les entreprises peuvent être trouvés ci-dessous.

Portée territoriale accrue (applicabilité extraterritoriale)
On peut soutenir que le plus grand changement dans le paysage réglementaire de la confidentialité des données vient avec la juridiction élargie du GDPR, comme cela s’applique à toutes les entreprises traitant les données personnelles des personnes résidant dans l’Union, indépendamment de l’emplacement de l’entreprise. Auparavant, l’applicabilité territoriale de la directive était ambiguë et renvoyait au traitement des données «dans le contexte d’un établissement». Ce sujet a été soulevé dans un certain nombre d’affaires judiciaires importantes. GPDR rend son applicabilité très claire – elle s’appliquera au traitement des données personnelles par les contrôleurs et les processeurs dans l’UE, indépendamment du fait que le traitement ait lieu dans l’UE ou non. Le GDPR s’appliquera également au traitement des données personnelles des personnes concernées dans l’UE par un responsable du traitement ou un transformateur non établi dans l’UE, lorsque ces activités concernent: l’offre de biens ou de services aux citoyens européens (que le paiement soit obligatoire); le suivi des comportements au sein de l’UE. Les entreprises non européennes qui traitent les données des citoyens de l’UE devront également désigner un représentant dans l’UE.

Pénalités
Sous GDPR les organisations en violation de GDPR peut être condamné à une amende jusqu’à 4% du chiffre d’affaires mondial annuel ou 20 millions d’euros (selon le plus élevé). C’est l’amende maximale qui peut être imposée pour les infractions les plus graves, par exemple, ne pas avoir le consentement du client suffisant pour traiter les données ou violer le noyau des concepts de confidentialité par conception. Il existe une approche progressive des amendes, par ex. une société peut être condamnée à une amende de 2% pour ne pas avoir ses dossiers en ordre (article 28), ne pas informer l’autorité de surveillance et la personne concernée d’une violation ou de ne pas effectuer d’évaluation d’impact. Il est important de noter que ces règles s’appliquent à la fois aux contrôleurs et aux processeurs, ce qui signifie que les «nuages» ne seront pas exemptés de l’application GDPR.

Consentement
Les conditions du consentement ont été renforcées, et les entreprises ne pourront plus utiliser des termes illisibles et longs, pleins de jargon juridique, car la demande de consentement doit être faite sous une forme intelligible et facilement accessible, dans le but de traiter les données jointes à ce consentement. Le consentement doit être clair et distinct des autres questions et fourni sous une forme intelligible et facilement accessible, en utilisant un langage clair et simple. Il doit être aussi facile de retirer son consentement que de le donner.

Droits sur les sujets de données

Notification de violation
En vertu du GDPR, la notification de violation deviendra obligatoire dans tous les États membres où une violation de données est susceptible de «porter atteinte aux droits et libertés des individus». Cela doit être fait dans les 72 heures après avoir pris connaissance de la violation. Les responsables du traitement des données seront également tenus d’informer leurs clients, les contrôleurs, « sans retard injustifié » après avoir pris connaissance d’une violation de données.

Droit d’accès aux données personnelles des personnes
Une partie des droits élargis des personnes concernées par le GDPR est le droit pour les personnes concernées d’obtenir du responsable du traitement des données la confirmation du traitement ou non des données personnelles les concernant, où et dans quel but. En outre, le responsable du traitement doit fournir gratuitement une copie des données à caractère personnel sous forme électronique. Ce changement constitue un changement spectaculaire vers la transparence des données et l’autonomisation des personnes concernées.

Droit d’être oublié
Également connu sous le nom de Data Erasure, le droit à l’oubli permet à la personne concernée d’effacer les données personnelles du responsable du traitement, de cesser la diffusion des données et de suspendre éventuellement le traitement des données par des tiers. Les conditions d’effacement, telles qu’énoncées à l’article 17, comprennent que les données ne sont plus pertinentes aux fins initiales du traitement, ou que les personnes concernées retirent leur consentement. Il convient également de noter que ce droit exige que les contrôleurs comparent les droits des sujets à «l’intérêt public dans la disponibilité des données» lorsqu’ils examinent de telles demandes.

Portabilité des données
GDPR introduit la portabilité des données – le droit pour une personne concernée de recevoir les données personnelles les concernant, qu’elle a précédemment fournies dans un « format couramment utilisé et lisible par machine » et qui a le droit de transmettre ces données à un autre contrôleur.

Confidentialité par conception
La protection de la vie privée dès la conception est un concept qui existe depuis des années, mais cela ne fait que devenir une exigence légale du GDPR. Au cœur de la conception, la protection de la vie privée exige l’inclusion de la protection des données dès le début de la conception des systèmes, plutôt qu’un ajout. Plus précisément: «Le responsable du traitement … met en œuvre les mesures techniques et organisationnelles appropriées de manière efficace afin de satisfaire aux exigences du présent règlement et de protéger les droits des personnes concernées». L’article 23 prévoit que les contrôleurs ne conservent et traitent que les données absolument nécessaires à l’accomplissement de leurs tâches (minimisation des données), ainsi que la limitation de l’accès aux données personnelles à ceux qui ont besoin d’effectuer le traitement.

Agents de protection des données (Data Protection Officer)
Actuellement, les contrôleurs sont tenus de notifier leurs activités de traitement des données avec les DPA locaux, ce qui, pour les multinationales, peut être un cauchemar bureaucratique, la plupart des États membres ayant des exigences de notification différentes. Dans le cadre du GDPR, il ne sera pas nécessaire de soumettre les notifications / enregistrements à chaque DPA locale des activités de traitement des données, ni de notifier / obtenir l’approbation pour les transferts basés sur les clauses contractuelles types (MCC). En revanche, il y aura des obligations internes de tenue des registres, comme expliqué ci-dessous, et la nomination des DPO ne sera obligatoire que pour les contrôleurs et transformateurs dont les activités principales consistent en des opérations de traitement nécessitant un suivi régulier et systématique des personnes concernées. catégories de données ou de données relatives aux condamnations et infractions pénales. Fait important, le DPD:

  • Doit être nommé sur la base des qualités professionnelles et, en particulier, des connaissances d’experts sur la loi et les pratiques de protection des données
  • Peut être un membre du personnel ou un fournisseur de services externe
  • Les coordonnées doivent être fournies à l’autorité de protection des données concernée
  • Doit être doté des ressources appropriées pour mener à bien ses tâches et maintenir ses connaissances spécialisées
  • Doit rapporter directement au plus haut niveau de gestion
  • Ne doit pas effectuer d’autres tâches qui pourraient entraîner un conflit d’intérêts.

LIENS

Les clés

Le Process

Pourquoi le GDPR ?