Les récents changements apportés à la réglementation européenne sur la protection des données personnelles inquiètent pas mal de monde. Le 25 mai 2018… vous devrez tout organiser ou vous risquez gros !
Nous voulons tous protéger les données à caractère personnel de manière responsable, mais nous voulons aussi éviter les amendes.
De nos jours, tout le monde sait et comprend l’importance de protéger les citoyens contre une grande variété de menaces émergentes. Sans parler du fait que nous devons tous, individuellement et collectivement, contribuer à la même cause.
Pour la plupart, ceux qui s’intéressent (ou s’inquiètent) de la protection des données se concentrent davantage sur l’aspect financier des choses que sur la protection réelle des données dans leur ensemble. Du point de vue des entreprises, toute violation de données est susceptible d’entraîner des amendes et des pénalités considérables.
C’est précisément la raison pour laquelle il est essentiel que chacun prenne conscience des récents ajustements apportés aux réglementations en matière de protection des données, afin de s’assurer de leur totale conformité. Nous entrons dans une ère où l’immunité contre les violations de données n’est pas un concept réaliste, mais il est toujours vital de s’assurer que toutes les mesures préventives nécessaires sont mises en place.
Le nouvel âge numérique
Ces dernières années, la société dans son ensemble n’a eu d’autre choix que de s’adapter à l’évolution rapide et aux nouvelles formes de communication et de relations. Les entreprises s’efforcent de suivre les perturbateurs de la nouvelle ère et de rester au top. Chaque jour, de nouvelles tendances numériques et de nouvelles plateformes voient le jour. Par conséquent, les défis auxquels est confrontée la grande majorité des entreprises dans cette nouvelle ère se font sentir dans plusieurs domaines.
Les règles du jeu ont changé, mais en raison de la rapidité de cette évolution permanente, le cadre nécessaire pour y faire face ne s’est pas encore adapté. Les entreprises s’en tiennent à leurs stratégies traditionnelles et souvent rigides, qui s’avèrent insuffisantes face aux menaces modernes.
« L’adaptabilité est le nouveau mot à la mode que le monde ne peut se permettre d’ignorer – ceux qui le font risquent de prendre du retard, voire de disparaître complètement.
La nécessité de modifier les règles de protection des données …
C’est en raison de l’évolution radicale du paysage numérique du21e siècle que l’Union européenne a pris la décision de mettre en œuvre des changements radicaux. Alors que le monde devient de plus en plus dépendant des données numériques, il est tout à fait logique de veiller à ce qu’elles soient protégées de manière adéquate.
Néanmoins, le fait que les choses continuent à changer quotidiennement rend l’ensemble encore plus compliqué. Après tout, comment pouvez-vous imposer une réglementation et fournir une protection adéquate, alors que vous n’avez pratiquement aucune idée de ce qui va se passer ensuite ?
Prenons l’exemple de la piraterie. Il fut un temps où les films étaient copiés et vendus sans autorisation, où des téléchargements étaient effectués tous les jours et où la loi ne prévoyait aucune disposition sur la manière d’agir dans ces cas-là. En conséquence, les pirates s’en tiraient sans poser de questions.
Comment les régulateurs ont-ils abordé le problème ?
Tout d’abord, il convient de préciser que le piratage de contenus audiovisuels est un délit économique qui consiste en l’utilisation illégale d’une œuvre protégée par le droit d’auteur et les droits voisins et, dans le cas de la reproduction illégitime de logiciels, par la loi sur l’informatique criminelle.
Aux yeux de la loi, la piraterie est considérée comme un crime d’usurpation.
Lorsqu’il est devenu évident que les pirates profitaient de plus en plus au détriment de ceux qui détenaient les droits d’auteur du matériel en question, de nouvelles réglementations ont dû être élaborées. Celles-ci ont conduit à l’interdiction pure et simple de la piraterie, ainsi qu’à des mesures énergiques visant à traduire en justice les personnes prenant part à ces activités.
Pourtant, chaque fois que les autorités s’attaquent à la communauté des pirates, de nouvelles techniques apparaissent pour rendre les personnes impliquées plus difficiles, voire impossibles à attraper. De plus, les progrès technologiques continuent de rendre la lutte contre la piraterie encore plus difficile, tout en rendant la piraterie dans son ensemble beaucoup plus facile à pratiquer.
D’où les défis liés à l’ère numérique.
Protection des données personnelles
L’une des plus grandes avancées technologiques de ces dernières années a été le développement exponentiel de la capacité de stockage et d’accès aux données personnelles. Il suffit de dire que si quelqu’un pouvait se rendre compte de la quantité de données stockées sur lui à l’échelle mondiale, il trouverait probablement cela terrifiant.
Avec de tels volumes de données personnelles et privilégiées stockées sur la quasi-totalité des êtres humains dans le monde, la nécessité de protéger ces données est rapidement devenue évidente. Les lois existantes sur la protection des données étaient loin de répondre aux besoins des citoyens du 21e siècle vivant à l’ère numérique.
Ainsi, des règles et des règlements sont désormais en place pour régir ceux qui collectent et travaillent avec des données à caractère personnel. Mais il est néanmoins inévitable que les choses doivent faire plusieurs avancées significatives, afin de suivre l’évolution du stockage et de l’utilisation des données.
Dès à présent, les entreprises sont tenues de s’adapter au nouveau cadre juridique, tandis que les citoyens sont invités à se familiariser avec leurs droits.
Qu’est-ce que la protection des données personnelles ?
Il n’y a pas de doute, essayer de comprendre la loi peut être ennuyeux et souvent très compliqué. Heureusement, le règlement à l’examen nous fournit quelques termes et définitions concrets, ce qui rend l’ensemble beaucoup plus facile à comprendre et à respecter.
Données personnelles
Une personne identifiable est considérée comme pouvant être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, des identifiants par voie électronique ou à un ou plusieurs éléments spécifiques de l’identifiant. L’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique ;
Traitement des données personnelles
Opération ou ensemble d’opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel par des moyens automatisés ou non automatisés, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de communication, la comparaison ou l’interconnexion, la limitation, l’effacement ou la destruction.
Limitation du traitement des données
L’insertion d’une marque dans les données personnelles conservées dans le but de limiter leur traitement à l’avenir ;
Définition du profil des clients
Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels d’une personne physique, notamment pour analyser ou prédire des aspects liés aux performances professionnelles, à la situation économique, à la santé, aux préférences personnelles, aux intérêts, à la fiabilité, au comportement, à la localisation ou aux voyages ;
Pseudonymisation
Le traitement de données à caractère personnel de telle sorte qu’elles ne puissent plus être attribuées à une personne concernée spécifique sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles visant à garantir que les données à caractère personnel ne puissent pas être attribuées à une personne physique identifiée ou identifiable ;
« Consentement » de la personne concernée
Une manifestation de volonté libre, spécifique, éclairée et explicite par laquelle la personne concernée accepte, par une déclaration ou un acte positif non équivoque, que des données à caractère personnel la concernant fassent l’objet d’un traitement ;
Violation des données personnelles
une violation de la sécurité entraînant, accidentellement ou illégalement, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés à des données à caractère personnel transmises, stockées ou traitées d’une autre manière ;
Données génétiques
Données à caractère personnel relatives aux caractéristiques génétiques héritées ou acquises d’une personne physique qui fournissent des informations uniques sur la physiologie ou la santé de cette personne physique et qui résultent notamment de l’analyse d’un échantillon biologique prélevé sur la personne physique concernée ;
Données biométriques :
Données à caractère personnel résultant d’un traitement technique spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique permettant ou confirmant l’identification unique de cette personne physique, en particulier les données faciales ou dactyloscopiques ;
Données sur la santé
Données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la fourniture de services de santé, qui révèlent des informations sur sa santé ;
Les conséquences de l’approche traditionnelle
La plupart des organisations se conforment à leur propre politique de protection des données, qui peut être restée inchangée depuis des années, voire des décennies. Quoi qu’elles fassent, elles le font parce qu’elles l’ont toujours fait.
Mais les nouveaux amendements aux règlements sur la protection des données exigent des changements significatifs dans les procédures, afin d’éviter des conséquences potentiellement dramatiques.
Le non-respect des nouvelles règles en matière de protection des données peut entraîner des amendes considérables pouvant aller jusqu’à 20 000 000 euros.
Ainsi, compte tenu du temps nécessaire à une institution pour s’adapter aux nouvelles règles, le législateur a fixé une période d’un an seulement pour que toutes les entreprises se conforment à la réglementation.
D’ici le 25 mai, toutes les institutions devront s’adapter aux changements, sans exception.
Quelles entreprises/institutions doivent s’adapter ?
Les nouveaux amendements au règlement s’appliquent à toutes les entités qui traitent des données à caractère personnel, c’est-à-dire à celles qui effectuent toutes sortes de transactions impliquant des données à caractère personnel. Ces entités peuvent être celles qui déterminent les finalités et les moyens du traitement des données à caractère personnel, mais aussi celles qui effectuent ces opérations en sous-traitance.
Géographiquement, le règlement s’applique sur l’ensemble du territoire de l’Union européenne. Toutefois, l’article 3, paragraphe 1, prévoit une exception : « Le présent règlement s’applique aux traitements de données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant situé sur le territoire de l’Union, à l’intérieur ou à l’extérieur de l’Union. »
En gros, l’absence de traitement de données à caractère personnel sur le territoire couvert par le règlement n’implique pas que celui-ci n’est pas appliqué, à condition que l’institution soit située sur ce territoire.
Comment éviter une amende colossale
- Accepter la nécessité de protéger les données personnelles de manière plus proactive.
- Respectez les nouvelles règles de protection des données et tout ira bien.
- Consultez la liste de contrôle que nous avons préparée et commencez dès maintenant !
Même si les institutions se conforment aux nouvelles normes avec la diligence requise, une violation involontaire des données personnelles ne peut être exclue. Comme indiqué précédemment, l’immunité totale n’est pas une possibilité réaliste.
Cela m’est arrivé… et maintenant ?
Lorsque les choses tournent mal, comment une institution doit-elle procéder dans de tels cas ?
Toutes les violations de données à caractère personnel doivent être pleinement documentées, y compris les faits qui y sont liés, leurs effets et la solution adoptée.
Voici quelques exemples des questions les plus fréquemment posées sur le sujet :
Quels sont les « nouveaux » droits en matière de protection des données ?
Avec les modifications apportées aux réglementations en matière de protection des données, nous assistons à l’émergence de nouveaux droits que les citoyens peuvent désormais « revendiquer » à leur guise.
Le droit à l’oubli
Ce nouveau règlement couvre le droit à l’effacement des données (« droit à l’oubli »), ce qui signifie que la personne concernée a le droit d’obtenir du responsable du traitement l’effacement de ses données à caractère personnel dans un délai raisonnable.
Le droit à la portabilité des données
Le droit à la portabilité des données permet aux individus d’obtenir et de réutiliser leurs données personnelles à leurs propres fins dans différents services. Le sujet peut librement transférer, copier et déplacer ses informations personnelles entre les systèmes informatiques d’une manière sûre, sécurisée et pratique.
Droit de rectification
Le titulaire des données a le droit d’obtenir du responsable du traitement la rectification (correction) des données à caractère personnel inexactes le concernant. En ce qui concerne la finalité du traitement des données, la personne concernée a le droit de faire compléter ses données à caractère personnel incomplètes, y compris au moyen d’une déclaration supplémentaire si nécessaire.
Punition potentielle…
Il est difficile de ne pas ressentir un certain effroi à la lecture des dispositions de l’article 83 du règlement, qui concernent l’application des amendes.
Examinons quelques éléments clés :
La violation des obligations du responsable du traitement et du sous-traitant et la violation des obligations de l’organe de contrôle sont passibles d’amendes administratives pouvant aller jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % de son chiffre d’affaires annuel mondial correspondant à l’exercice précédent, le montant le plus élevé étant retenu :
Toutefois, les amendes les plus élevées sont réservées à ceux qui enfreignent les dispositions suivantes :
- Les principes de base du traitement, y compris les conditions du consentement ;
- Les droits des personnes concernées ;
- Le transfert de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale ;
- Obligations en vertu de la législation de l’État membre adoptée au titre du chapitre IX ;
- Le non-respect d’une injonction temporaire ou définitive concernant le traitement ou la suspension des flux de données émise par l’autorité de contrôle ou le non-respect de l’accès ;
Dans ce cas, la violation des dispositions est passible d’amendes administratives pouvant aller jusqu’à 20 000 000 euros ou, dans le cas d’une entreprise, jusqu’à 4 % de son chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu :
En résumé : comment votre entreprise/agence peut-elle se conformer à ces changements nécessaires à la réglementation sur la protection des données personnelles, afin d’éviter ces amendes ?
- Prenez quelques minutes pour étudier le sujet dans les détails nécessaires.
- Introduisez/adaptez vos employés et les technologies de votre institution aux nouvelles réglementations.
- Soyez attentif à toute infraction et signalez-la en temps utile.
- Désigner un délégué à la protection des données chargé d’examiner vos processus de protection des données personnelles et la sécurité.
Nous espérons que cet article sur la nouvelle réglementation européenne sur la protection des données personnelles qui entrera en vigueur en mai 2018 vous aidera à préparer votre organisation et à éviter de recevoir une amende !
Si vous avez besoin de plus d’informations ou si vous souhaitez nous faire part de votre opinion, n’hésitez pas à nous contacter !
