Le règlement général sur la protection des données (RGPD) [règlement (UE) 2016/679] est un ensemble de lignes directrices avec lesquelles le Parlement européen, le Conseil européen et la Commission européenne visent à renforcer et unifier la protection des données pour les personnes physiques à l'intérieur de l'Union européenne (UE). Le règlement se trouve actuellement dans une période de transition de deux ans, et sera officiellement promulgué le 25 mai 2018.
Le RGPD sera appliqué à tous les 28 États membres de l'Union européenne ainsi qu'aux données personnelles de leurs citoyens, que les informations soient collectées, stockées ou traitées à l'intérieur ou à l'extérieur de l'UE. Les objectifs primaires du règlement visent à fournir aux citoyens un meilleur contrôle sur leurs données personnelles et à simplifier l'environnement réglementaire du commerce international en uniformisant la gouvernance des informations personnelles à travers l'UE.
Avec le nouveau règlement, les citoyens de l'UE obtiendront plusieurs droits relatifs à leurs données personnelles. En outre, les sociétés seront confrontées à des restrictions plus sévères concernant l'utilisation de ces informations et leur accès. Voici donc les changements les plus importants qui feront suite au RGPD :
Actuellement, la définition des données personnelles est très vaste et couvre une multitude de types d'informations différentes. Une organisation pourrait, par exemple, traiter les « informations personnelles » en collectant et en stockant des informations telles que l'adresse IP d'une personne physique. Après la prise d'effet du RGPD, les organisations devront clairement définir tous les types de données personnelles qu'elles collectent et stockent.
Dans le cadre du RGPD, les personnes physiques possèderont plus de droits concernant leurs données personnelles, y compris :
Le RGPD exigera que les organisations collectent le moins de données possible et qu'elles les stockent pendant le moins de temps possible. Une fois que les données personnelles auront servi à leur objectif, les organisations seront forcées de les effacer le plus rapidement possible. Ces règles sont particulièrement importantes pour les départements marketing, qui généralement rassemblent et stockent de grandes quantités de données des clients pour les aider à atteindre les objectifs qu'ils poursuivent et à étendre leur portée.
En vertu du nouveau règlement, les organisations seront obligées d'obtenir un consentement précis et éclairé des personnes physiques avant que leurs données ne puissent être traitées et stockées. En outre, le consentement ne peut être présumé en aucun cas. Par exemple, l'inaction ou l'absence de réponse à certaines questions de la part d'une personne physique ne peuvent être interprétés comme un consentement. Toute demande visant à obtenir une permission d'accès pour une organisation afin de traiter ou de stocker les données personnelles d'une personne physique doit être clairement présentée. De plus, une fois acquis de la part d'une personne physique, un consentement devra être stocké au sein de l'organisation pour toute référence ultérieure.
Le RGPD imposera aux organisations de signaler toute violation de données aux autorités compétentes et aux personnes physiques concernées dans les 72 heures suivant l'incident. Chaque cas relatif à la sécurité des données doit être rapidement analysé, surveillé de près et signalé aux autorités. Celles-ci peuvent alors aider les personnes physiques concernées à atténuer les risques associés à la violation de leurs données personnelles. Il arrive souvent que des données personnelles soient attaquées, même dans de grandes organisations réputées. Il est donc essentiel de préparer une réponse officielle pour résoudre le problème rapidement. Vous trouverez ici un bon exemple d'organisation importante qui a été victime d'une cyberattaque.
Le RGPD contiendra un certain nombre de nouvelles règles de gouvernance, y compris la nécessité de désigner un délégué à la protection des données (DPD). Le DPD sera chargé de conduire des évaluations de routine de l'impact sur la vie privée pour sa société. En cas de violation de données, le DPD sera en outre chargé de contacter les autorités ainsi que toute personne physique concernée.
Le non-respect du nouveau règlement pourra entraîner de sévères sanctions. Une amende pour violation des termes du RGPD pourra atteindre jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial d'une organisation, selon la valeur la plus élevée.