Le 4 mai 2016, le Règlement Général sur la Protection des Données ("Règlement" ou "GDPR") a été publié au Journal Officiel de l’Union Européenne. Le nouveau Règlement modifiera considérablement le traitement des données personnelles dans votre entreprise à partir du 25 mai 2018.
Qu'est-ce qui va changer avec le Règlement ?
Le Règlement remplacera la directive 95/46/CE existante sur la protection des données et ainsi il modifiera substantiellement le cadre juridique pour la protection des données.
Les nouveautés du Règlement consistent entre autres en:
- L'effet extraterritorial aux sociétés non-européennes qui offrent des biens ou des services dans l'UE;
- L'accent sur la responsabilité des entreprises qui traitent des données personnelles;
- Des obligations indépendantes pour les processeurs de données personnelles;
- Des droits améliorés pour les personnes concernées: entre autres le droit à l'oubli, le droit à la portabilité des données, ...
- L'obligation de signaler des fuites de données;
- L'obligation de désigner un délégué à la protection des données dans certaines circonstances;
- L'introduction des principes de privacy by design et privacy by default;
- …
Last but not least … le Règlement permet de sanctionner les contrevenants aux nouvelles règles avec des amendes allant jusqu'à 4% du chiffre d'affaires annuel global de l'entreprise.
Quand est-ce que le Règlement entre en vigueur ?
Le Règlement a été publié le 4 mai 2016 au Journal officiel de l'Union européenne et est entré en vigueur le 24 mai 2016. Le Règlement sera applicable à partir du 25 mai 2018, de sorte que les entreprises ont une période de deux ans pour s’adapter aux nouvelles règles.
Ce que vous devez faire en tant que société
Les entreprises feraient bien de procéder à un gap analysis le plus tôt possible afin d'évaluer leurs programmes de protection des données. Cela exige non seulement un mapping de toutes les données au sein de l'entreprise, mais aussi de tous les canaux par lesquels l'entreprise communique avec les personnes concernées (privacy policies, site web, contrats, bulletins, outils e-commerce, ...) et des procédures internes (procédure sur le plan des fuites de données, ...). Après une telle analyse, les mesures qui permettent à l'entreprise d'être en conformité avec le Règlement en 2018 peuvent être identifiées.