Le Règlement Général sur la Protection des Données personnelles (RGPD) entrera en application le 25 mai 2018. L’occasion pour SMATIS de revenir sur ce sujet qui impacte tous les organismes et qui reste parfois mal compris ou méconnu.
Les objectifs du RGPD
Le RGPD a pour but d’uniformiser et de renforcer la norme européenne en matière de protection des données personnelles.
Ce règlement s’applique à toutes les entreprises, organismes publics, associations…, basés dans ou en dehors de l’UE, qui récupèrent et utilisent des données (telles que le nom, prénom, email, photo, n° de sécurité sociale, adresse IP…) sur des personnes résidant au sein de l’UE.
Tous les traitements contenant des données personnelles doivent être mis en conformité selon les principes du RGPD au 25 mai prochain. Avec l’entrée en application de ce règlement, les droits des personnes concernées par un traitement (citoyen, administré, salarié, consommateur) et les obligations sur les responsables de traitement sont renforcés.
Les droits des personnes concernées
Chaque personne concernée a la possibilité d’exercer plusieurs droits :
un droit d’accès : possibilité de connaître les données personnelles détenues sur soi et d’en obtenir une copie.
un droit de rectification : possibilité de demander que ses données personnelles soient mises à jour ou modifiées.
un droit à la portabilité des données (dans certains cas) : possibilité d’obtenir que ses données personnelles soient transmises directement à un autre responsable de traitement, en cas de changement de prestataire par exemple.
un droit à la limitation de traitement : possibilité de demander que ses données personnelles ne soient plus utilisées dans certains cas.
un droit d’opposition : possibilité de s’opposer à l’utilisation de ses données personnelles.
un droit à l’effacement ou “droit à l’oubli” : possibilité d’obtenir la suppression de ses données personnelles.
Les obligations des responsables de traitement
Le RGPD impose aux entreprises de renforcer l’information préalable à la collecte des données et, pour les traitements présentant un risque élevé pour les droits et libertés des personnes concernées, de réaliser une étude d’impact sur la vie privée.
Ainsi, les entreprises doivent être transparentes quant aux objectifs de leurs traitements et donc afficher une politique claire sur l’utilisation des données personnelles qu’elles collectent.
Pour répondre aux exigences du RGPD, les entreprises doivent nommer un DPO (Data Protection Officer ou Délégué à la Protection des Données). Une cartographie de l’ensemble des traitements mis en oeuvre (qu’ils soient numériques ou au format papier) est aussi vivement recommandée et, dans certains cas, obligatoire comme la nomination d’un DPO.
NB : La CNIL est chargée de contrôler le respect des exigences du RGPD. Les organismes qui ne seront pas en conformité à partir du 25 mai 2018 risqueront une amende pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial.
sources : www.newsassurancespro.com – www.e-marketing.fr
