En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Mobility Meetings, toutes les solutions mobiles

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
  • 10/04/2018
    JFTL – Journée Française des Tests Logiciels

    Le Comité Français des Tests logiciels organise la 10e édition de la Journée Française des…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site vitrine pour un garagiste
    < 468 €
    > En savoir plus
  • Création d'un site E-commerce dans la vente de prêt-à-porter
    < 5 000 €
    > En savoir plus
  • Création d'un site E-Commerce pour une boulangerie / pâtisserie depuis 1999
    A déterminer €
    > En savoir plus
BigData2018_leaderboard

GDPR : les nouveautés du règlement européen sur la protection des données personnelles

GlobalK_GDPR _pave

eu-trustmark-logoQuatre années, c’est le temps qu’il aura fallu aux institutions européennes pour aboutir à l’adoption définitive du règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

MAitre-GARANCE-MathiasLe point sur cette nouvelle réglementation
avec l’Avocat Garance Mathias.

 

L’Union européenne vient donc de prendre un virage crucial pour la protection des données des citoyens européens. Le règlement, publié au Journal Officiel de l’Union européenne le 4 mai dernier, ne sera applicable qu’à partir du 25 mai 2018. A cette date, un cadre juridique unique relatif à la protection des données à caractère personnel sera applicable sur l’ensemble du territoire de l’Union permettant ainsi une protection uniforme des personnes physiques.

Vers davantage de transparence

En pratique, le règlement européen redistribue les cartes en consacrant un niveau élevé de protection des données à caractère personnel. Cette protection est matérialisée par la transparence et l’exigence d’accessibilité de l’information instaurées par le règlement européen. Dès lors, l’information et les communications adressées aux personnes devront être libellées dans des termes clairs et simples favorisant leur compréhension. Les personnes auront également accès à davantage d’information. Cette transparence conduira en outre les acteurs publics et privés à informer les personnes en cas de violation de leurs données à caractère personnel caractérisée par une violation de la sécurité entraînant notamment la divulgation non autorisée des données à caractère personnel.

Droits préexistants renforcés et nouveaux droits

Les citoyens européens voient en outre leurs droits préexistants renforcés et de nouveaux droits leur sont reconnus. Au titre de ces derniers figure le droit à l’effacement autrement appelé « droit à l’oubli » par le règlement. Ce droit connait une application particulière puisque le responsable de traitement qui aura rendu les données des personnes concernées publiques sera tenu d’informer les responsables de traitement qui s’occupent desdites données qu’il convient d’effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci. Les citoyens pourront aussi demander à ce que les données qu’ils auront communiquées soient transmises par le responsable de traitement à tout autre responsable de traitement dans le cadre de l’exercice de leur « droit à la portabilité ». L’élargissement des droits des individus repose aussi sur l’établissement de limitations claires au recours au profilage (consentement des personnes notamment) ou encore la consécration d’une protection spécifique pour les mineurs.

Une application territoriale large de la réglementation

La protection élevée des personnes se traduit enfin par l’application territoriale large de la réglementation à tout traitement de données à caractère personnel, mis en œuvre par un responsable de traitement, même s’il n’est pas établi sur le territoire de l’Union européenne (UE) dès lors qu’il s’agit d’activités liées à l’offre de biens ou de services, proposées à des personnes se trouvant au sein de l’UE et à l’observation du comportement des personnes situées au sein de l’UE. Plus précisément, une entreprise établie aux États-Unis qui commercialise ses produits directement à des résidents de l’Union européenne, sans être physiquement présente sur le territoire de l’Union, sera soumise aux exigences du Règlement.

signatureelectronique

Les acteurs publics et privés qu’ils soient responsables de traitement ou sous-traitants devront s’adapter à la logique nouvelle mise en place par le règlement (principe d’accountability, principe de privacy by design et by default, obligations directement mises à la charge des sous-traitants, etc.). En pratique, les entités seront encouragées à davantage d’innovation quant aux solutions de traitement utilisées.

Une simplification est tout de même à noter. Les entités présentes dans plusieurs pays de l’Union bénéficieront du dispositif dit du « guichet unique » de sorte qu’elles auront une autorité de protection interlocutrice et non plus une par pays. Elles seront par ailleurs soumises à une réglementation unique et n’auront plus à réaliser des formalités préalables.

Le DPO, maestro de la conformité

Dans ce contexte général, le règlement européen érige le délégué à la protection des données (Data Protection Officer ou DPO) comme le maestro de la conformité au sein de chaque entité.

Jusqu’à présent, en application de la réglementation française, la désignation d’un Correspondant à la protection des données à caractère personnel – plus connu en tant que Correspondant Informatique et Libertés (CIL) – était laissée à la discrétion des responsables de traitement. Demain, un délégué à la protection des données devra impérativement être désigné par les organismes publics, les entités mettant en œuvre des traitements nécessitant un suivi régulier et systématique à grande échelle des personnes concernées ou encore traitant, à grande échelle des données sensibles et/ou des données relatives à des condamnations pénales et à des infractions.

Dans le cadre des groupes, le règlement officialise les réseaux de délégués à la protection des données. Un seul délégué à la protection des données pourra être désigné.

Quel profil pour le Data Protection Officer ?

La question du profil du maestro peut légitimement se poser qu’il soit interne ou externe à l’organisme. Le règlement définit le profil du DPO plus précisément que ne le faisait la réglementation jusque-là. Les futurs DPO devront avoir des connaissances spécifiques du droit et des pratiques en matière de protection des données. Le DPO devra également être en mesure d’assumer le positionnement fort que lui reconnait le règlement. A ce titre, des interventions auprès des instances les plus élevées de l’organisme sont à prévoir. Un avocat spécialisé dans ce domaine du droit pourra donc être désigné en tant que DPO externe.

Le DPO devra également être un communicant capable d’informer, d’échanger avec les opérationnels (analyse d’impact notamment), de conseiller et de sensibiliser tant les hautes instances de l’organisme que les personnes dont la fonction est de traiter les données. Son concours sera donc requis pour impulser les politiques et les procédures de protection des données mises en œuvre et qui seront indispensables pour démontrer la conformité au règlement de son entité.

Enfin, ce chef d’orchestre sera amené à interagir tant avec les personnes concernées qui s’adresseront à lui pour toute question relative aux traitements les concernant et à l’exercice de leurs droits tant avec l’autorité de contrôle avec laquelle il devra collaborer.

La recherche du DPO idéal doit donc être intégrée au processus de transition que doivent entamer les entités.

Auteur : Garance Mathias, Avocat à la Cour - www.avocats-mathias.com

Dossier publié dans Solutions IT N°11

GDPR : les nouveautés du règlement européen sur la protection des données personnelles
Notez cet article

L’intelligence Artificielle, une vraie rupture en Cybersécurité

L'IA ne révolutionne pas seulement la perception de la cybersécurité au coeur des entreprises, elle redéfinit les règles du jeu pour l'ensemble des acteurs de la sécurité. Découvrez le livre blanc de 30 pages de iTrust

Découvrez le livre blanc de 30 pages de iTrust

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Affaire Lafuma/Alibaba : retour sur les critères objectifs pour qualifier un acteur du e-commerce d’éditeur de site internet

    Une décision récente du Tribunal de grande instance de Paris a le mérite de fixer…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • De la log data à la smart data

    Pour prospérer dans un monde digital, les entreprises doivent voir plus loin que la log…

    > En savoir plus...
Etudes/Enquêtes
  • La transformation numérique, un des principaux facteurs d'évolution des métiers cadre

    L'évolution des métiers et les compétences des cadre requises pour les exercer vont dépendre de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_GDPR _skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Livre blanc « Digital Needs Trust " : pour construire ensemble un écosystème digital européen…

    > Voir le livre
  • Gestion des accès à privilèges

    > Voir le livre
GlobalK_GDPR _skycraper