Édition internationale
Radio les français dans le monde
--:--
--:--
  • 0
  • 0

Protection de Données personnelles : ce qu'il faut savoir en 2018

protection données personnellesprotection données personnelles
Écrit par Eric Gardner de Béville
Publié le 15 janvier 2018, mis à jour le 15 janvier 2018

En Chine l’année 2018 sera celle du Chien. En Espagne et en Europe ce sera celle du DPO ou Data Protection Officer. Il est toutefois possible que l’année des DPO soit pour les entreprises une véritable année "de chien".

 

Le 25 mai 2018 entrera en vigueur en Espagne et dans toute l’Union Européenne le fameux RGPD ou Règlement Général sur la Protection de Données personnelles. Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, affirme dans son premier alinéa que "la protection des personnes physiques à l'égard du traitement des données à caractère personnel est un droit fondamental". 

 

Ce Règlement prévoit que "le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits". C’est clair.

 

Qui plus est, le RGPD précise que, hormis certains cas limités, "le traitement n'est licite que si la personne concernée a consenti au traitement de ses données ou le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie (…)". 
De plus, le texte rend obligatoire pour les entreprises la désignation d’un "responsable du traitement", ou DPO, qui doit assurer que les données à caractère personnel seront "traitées de manière licite, loyale et transparente (…), collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités (…), adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (…), exactes et, si nécessaire, tenues à jour (…), conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (…), traitées de façon à garantir une sécurité appropriée des données à caractère personnel (…)".

Ledit DPO doit être en permanence "en mesure de démontrer que [ceci] est respecté". Il met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD. "L'application d'un code de conduite peut servir d'élément pour démontrer le respect des obligations incombant au responsable du traitement".

 

le non-respect des nouvelles normes est sanctionné par une amende pouvant s'élever jusqu'à 20 millions d’euros

 

Le texte prévoit aussi un "droit à l’oubli" dont on se souviendra que ce fut l’Espagnol Mario Costeja qui gagna en 2014 son procès contre Google devant le Tribunal de Justice de l’Union européenne.

Dans certains cas spécifiques, le responsable du traitement peut désigner "un délégué à la protection des données" dont les missions et fonctions sont précisées dans le RGPD.

En pratique -et même dans les cas légitimes de toute bonne foi- ceci limite très considérablement les possibilités pour une entreprise quelconque de traiter les données des employés, clients et fournisseurs. Toutefois, le non-respect des nouvelles normes est sanctionné par une amende pouvant s'élever jusqu'à 20 millions d’euros ou jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. 

La bonne conduite en entreprise prend donc une dimension toute nouvelle. Il ne sera pas de trop de faire appel à un chasseur-de-têtes spécialiste des DPO pour trouver le profil adéquat en fonction de l’activité de l’entreprise, du secteur, de sa taille, de son passé juridique et des risques et opportunités à venir.

Sujets du moment

Flash infos