GDPR (ou RGPD), je ne comprends pas la signification !

08.06.2018

fotolia © alphaspirit

GDPR est le sigle utilisé pour General Data Protection Regulation (Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données).

Son but est d’uniformiser la protection des données pour tous les citoyens européens, de responsabiliser les entreprises et de renforcer le droit des personnes physiques.

1. Quand dois-je me conformer au GDPR  ?

Depuis ce 25 mai 2018, le GDPR est entré en vigueur et modifie de manière significative les lois concernant le traitement des données à caractère personnel actuellement en vigueur.

2. Cette réglementation s'applique-t-elle à moi, indépendant, petite entreprise ?

Le GDPR s'applique à toutes les entreprises publiques ou privées qui proposent des biens et des services sur le marché de l’UE ou qui collectent des données à caractère personnel de résidents de l’UE, en ce compris les indépendants et les PME. Le GDPR s’applique également aux entreprises n’ayant pas leur siège dans l’UE.

3. Suis-je concerné ? Le contraire serait très surprenant !

Le GDPR s’applique aux données à caractère personnel des personnes physiques identifiées ou identifiables, c’est-à-dire aux données permettant d’identifier la personne concernée (à qui appartient ces données), de manière directe ou indirecte (par recoupement d’informations). Il peut s’agir des données générales (nom, prénoms, date de naissance, adresse, …) ou de données plus particulières, dites sensibles (données médicales, révélant une appartenance syndicale, une religion, …).

Ne sont pas concernées par le GDPR les données relatives à une personne morale ou les données ne permettant pas d’identifier la personne concernée (données anonymes, à des fins statistiques, par exemple).

4. Je ne traite aucune donnée personnelle ?

Quand-même au moins celles de mon personnel, de mes clients !

5. Est-ce que je traite des données à caractère personnel ? Certainement !

Le traitement vise un très large éventail d’opérations : collecte, enregistrement, conservation, consultation, transfert, utilisation, effacement des données à caractère personnel.

6. Quelles  règles de traitement de données dois-je respecter ?

Le GDPR prône le concept de data quality : les données à caractère personnel devront être soumises à des principes de traitement qualitatif stricts.

Les données seront

  • traitées conformément à la loi, de manière loyale et transparente (licéité, loyauté et transparente)
  • collectées uniquement pour des finalités spécifiques, explicites et légitimes (limitation des finalités)
  • adéquates, relevantes et limitées à ce qui est absolument nécessaire (minimisation des données)
  • précises et mises à jour (exactitude)
  • détenues seulement pour le temps nécessaire au traitement (limitation de la durée de conservation)
  • traitées de manière à garantir une sécurité appropriée des données à caractère personnel (intégrité et confidentialité).

7. Il y a eu un incident (data breach), que dois-je faire ?

Il y a un incident de sécurité lorsque des données à caractère personnel collectées et/ou traitées sont détruites, perdues, volées ou divulguées sans y avoir été autorisé.

Un registre des « data breaches » doit être tenu par le responsable du traitement.

L’incident doit être notifié dans un délai de 72 heures au plus tard à compter de la prise de connaissance par le responsable à l’autorité compétente (la future Autorité de protection des données pour la Belgique). Il s’agit d’heures « calendrier » et non d’heures ouvrables.

Les personnes concernées doivent être informées dans les meilleurs délais si la violation constatée comporte un risque élevé pour leurs droits et libertés.

8. Quelles sont les sanctions que je risque d’encourir ?

Le GDPR a introduit une approche par paliers des amendes : la sévérité de la violation déterminera la lourdeur de la sanction (qui va de l’avertissement à l'amende administrative).
L'amende maximale à laquelle une organisation aura à faire face est de 4% de son chiffre d'affaires annuel avec un maximum de 20 millions d'euros.
Pour des violations moins sérieuses, comme, par exemple, un défaut de registres ou un défaut de notification des violations peuvent se voir sanctionner d'une amende de 2% de leur chiffre d'affaires annuel avec un maximum de 10 millions d'euros.

9. Quels droits sont accordés aux individus par le GDPR ?

Le GDPR accorde 8 droits fondamentaux à la personne concernée :

  • Le droit d'être informée et d'avoir accès aux données : la personne concernée a le droit de connaître exactement quelles sont les informations détenues à son sujet et comment elles sont traitées.
  • Le droit de rectification : la personne concernée a le droit de corriger ses données personnelles si elles s'avèrent erronées ou incomplètes.
  • Le droit à l'effacement des données : aussi connu comme le droit à l'oubli, il s'agit d'un droit offert à chaque personne concernée d'effacer les données la concernant.
  • Le droit de limiter le traitement des données : chaque personne concernée peut bloquer ou restreindre le traitement des données à caractère personnel la concernant.
  • Le droit à la portabilité des données : cela permet à chaque personne concernée de demander le transfert de ses données à caractère personnel vers un autre responsable de traitement.
  • Le droit d’opposition : la personne concernée peut s'opposer à ce que les données personnelles la concernant fassent l'objet d'un traitement

10. J’emploie du personnel. Y a-t-il des répercussions ? Oui, bien sûr !

Ces répercussions sont de deux ordres :

  • les employés sont des personnes concernées au sens du GDPR et bénéficient dès lors de la nouvelle règlementation, dont le droit à l'oubli, le droit de limiter l'usage de leurs données personnelles, ... Ces droits sont notamment utiles à la fin de la relation de travail. Les organisations et les employeurs ont de nouvelles obligations visant à garantir un usage et la conservation appropriés des données à caractère personnel de leurs employés. Cette garantie est élargie à tous les sous-traitants qui traiteraient ces données pour le compte et au nom de l’employeur (secrétariat social, assurance pension, gestion de la flotte de véhicules, ...).
  • les employés ont des responsabilités nouvelles dès lors qu’ils travaillent pour une entreprise qui collecte, conserve et traite des données à caractère personnel. Ces obligations sont reprises dans la Charte Employé et ses annexes.

CONCLUSION

Ce rapide survol de cette matière montre sa complexité. Tous les jours, vous traitez certainement un grand nombre de données à caractère personnel.

Le risque est grand d’être confronté tôt ou tard à un problème. La sanction peut être extrêmement sévère et très grave pour la continuité de l’activité, la survie de l’entreprise.  A ce moment, l’aide et les conseils d’un assureur Protection Juridique seront certainement très précieux pour vous défendre et prendre en charge les frais inhérents à une éventuelle procédure.

Source: ARAG Insurance Belgium


Le conseil Cap G

Prévenir vaut toujours mieux que guérir ! Envisagez la souscription d'un contrat de Protection Juridique pour votre Entreprise.



Inscription à la newsletterRestez au courant des dernières actualités en matière d'asssurances !