L’entrée en vigueur du Règlement général sur la protection des données de l’Union européenne le 25 mai 2018 bouleversera la manière dont les entreprises collectent et utilisent les informations personnelles des résidents européens. Les experts de BCD Travel se sont plongés au cœur du RGPD pour en sortir une liste de neuf grands changements à venir :
- Plus de cohérence : Le RGPD sera applicable dans chaque État membre de l’UE, sans transposition dans sa législation nationale. Il en résultera un plus haut niveau d’harmonisation des exigences en matière de protection des données.
- Une portée élargie : La définition des « données personnelles » a été étendue aux identifiants internet, tels que les adresses de protocole internet, ou IP.
- Des effets dépassant la limite des frontières : Le RGPD s’applique aux entités installées dans l’Union européenne ; offrant des biens et des services dans l’Union européenne ; ou qui surveillent le comportement de personnes physiques dans l’Union européenne. Conséquence : une entreprise qui n’est pas présente sur le territoire européen peut tout à fait être soumise à ces obligations.
- Des sanctions plus lourdes : Le non-respect des exigences du RGPD pourra se solder par des amendes allant jusqu’à 20 millions d’euros (environ 23,6 millions de dollars) ou à concurrence de 4 % du chiffre d’affaires total mondial déclaré à la fin de l’exercice précédent.
- Un consentement plus explicite : Le RGPD instaure une règle stricte concernant le consentement aux fins du traitement (collecte, utilisation et stockage) des données personnelles. Le consentement doit être explicite et nécessite un acte positif clair. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Chaque personne doit aussi être en mesure de revenir sur son consentement facilement.
- Obligations relatives aux notifications de violations : Le RGPD exige le signalement de toute violation de données à l’autorité de protection des données dans « les meilleurs délais » et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. Dans certains cas, les personnes concernées doivent être informées sans retard injustifié. Le RGPD exige également qu’un sous-traitant informe ses entreprises clientes de toute violation de données dans les meilleurs délais.
- Extension des droits des personnes physiques : La nouvelle réglementation renforce les droits actuels des personnes concernées et en introduit de nouveaux, tels que le droit à l’oubli et le droit à la portabilité des données (le transfert des données à des tiers).
- Respect de la vie privée dès la conception : La confidentialité des données doit être prise en compte au tout début du développement d’une nouvelle technologie. Les entreprises qui exploitent les données personnelles doivent procéder à des évaluations d’impact sur la vie privée de tout traitement susceptible d’engendrer un « risque élevé », lors de l’utilisation de nouvelles technologies par exemple.
- Délégué à la protection des données : Le RGPD exige la désignation d’un délégué à la protection des données dans le cas où les « activités de base » d’une entité consistent en des opérations de traitement ou de suivi régulier et à grande échelle de données de personnes physiques, notamment les données relatives à des condamnations pénales ou des infractions.
