En mai 2018, l'Europe est passée aux règles actualisées de traitement des données personnelles établies par le Règlement général sur la protection des données (Règlement UE 2016/679 du 27 avril 2016 ou RGPD). Ce règlement, qui a un effet direct dans les 28 pays de l'UE, a remplacé la directive sur la protection des données 95/46/CE du 24 octobre 1995.
Le principe extraterritorial du RGPD des nouvelles règles européennes de traitement des données personnelles est très important, vous devez donc y prêter attention si les services fournis par votre entreprise sont axés sur le marché européen ou international.
Le nouveau règlement fournit aux résidents de l'UE les outils nécessaires pour un contrôle total sur leurs données personnelles. Depuis mai 2018, la responsabilité pour violation des règles de traitement des données personnelles s'est durcie : les amendes atteignent parfois 20 millions d'euros, soit 4 % des revenus annuels du RGPD. Dans cet article, nous avons analysé les nouvelles règles de traitement des données personnelles dans l'UE et formulé des recommandations pour les entreprises sur la manière de se conformer au RGPD.
Quelles entreprises sont couvertes par le RGPD ?
Le RGPD a un effet extraterritorial et s'applique à toutes les entreprises traitant des données personnelles de résidents et de citoyens de l'UE, quelle que soit la localisation d'une telle entreprise. Bien entendu, les succursales, bureaux de représentation des non-résidents dans l'UE devront répondre aux nouvelles exigences.
Dans quels cas les entreprises doivent-elles se conformer à toutes les exigences du RGPD ? Lorsque:
- Leurs services/produits sont adaptés aux langues locales des résidents de l'UE
- Leurs services/biens sont payés dans les devises locales de l'UE
- Leurs services/biens sont fournis sur les domaines nationaux de premier niveau des pays de l'UE.
Cela signifie que les organisations qui traitent les données personnelles des Européens aux États-Unis dans la mise en œuvre des ventes en ligne (par exemple, les chemins de fer, les compagnies aériennes, les hôtels, les auberges et autres), sont soumises au RGPD et doivent se conformer à la nouvelle réglementation européenne. sur le traitement des données personnelles. En plus du traitement des données personnelles, le RGPD utilise le concept de surveillance du comportement des personnes concernées, c'est pourquoi une autre catégorie de sujets relève du RGPD.
Le RGPD s'applique aux organisations établies en dehors de l'UE si elles (en tant que responsable du traitement ou sous-traitant) contrôlent le comportement des résidents de l'UE (dans la mesure où un tel comportement a lieu dans l'UE). Les entreprises devront désormais se conformer pleinement à ces normes et si cela ne se produit pas, elles s'exposent à des sanctions strictes qui pourraient affecter leur travail futur.
La surveillance peut inclure :
- surveillance d'un résident de l'UE sur Internet ;
- utilisation des techniques de traitement de données pour profiler des individus, leur comportement ou leur relation à quelque chose (par exemple, pour analyser ou prédire des préférences personnelles).
Qu'entend-on par données personnelles dans le RGPD ?
Une donnée à caractère personnel est toute information relative à une personne physique identifiée ou identifiable (personne concernée) sur laquelle elle peut être déterminée directement ou indirectement. Différentes informations, qui sont collectées ensemble, peuvent conduire à identifier une personne en particulier et constituer des données personnelles. Il est important de noter qu'il existe certains types de données personnelles. De plus, ces informations comprennent des données génétiques, biométriques utilisées pour identifier des individus, des données sur l'état de santé, des informations concernant la vie sexuelle ou l'orientation sexuelle.
Comment fonctionne le traitement des données dans le RGPD
Les données personnelles sont traitées de manière licite, loyale et transparente. Toute information sur les finalités, les méthodes et les volumes de traitement des données personnelles doit être présentée aussi accessible et simple que possible. Les données ne seront collectées et utilisées qu'aux fins indiquées par la société (service en ligne).
Les données ne peuvent pas être collectées dans une plus grande mesure et doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux fins du traitement.
Les données personnelles inexactes doivent être supprimées ou corrigées (à la demande de l'utilisateur).
Toutes les entreprises sont tenues de protéger les données personnelles contre le traitement, la destruction et les dommages non autorisés ou illégaux.
Cas de violation du RGPD
Les entreprises sont tenues d'informer les régulateurs (et les personnes concernées dans certains cas) de toute violation de données personnelles dans les 72 heures suivant la découverte d'une telle violation.
Une liste des régulateurs nationaux des données personnelles pour tous les pays de l'UE est disponible sur ce websitesite Web. Il existe également un régulateur paneuropéen, Working part 29 ou groupe de travail sur l'article 29. Cependant, une fois le RGPD entré en vigueur, le nouvel organe remplacera le groupe de travail sur l'article 29 - le Comité européen de la protection des données (EDPB).
Droits de la personne concernée (individu)
Le RGPD étend considérablement les droits des citoyens et résidents de l'UE de contrôler leurs données personnelles. Les Européens ont le droit de demander tout type d'informations sur le traitement de leurs données et d'exiger leur rectification. De plus, l'utilisateur a le droit d'exiger la cessation de son traitement de données. Le RGPD prévoit également le droit à l'oubli (droit à l'effacement, droit à l'oubli), qui permet aux Européens de supprimer leurs données sur simple demande afin d'éviter leur diffusion ou leur transfert à des tiers.