Les impacts du nouveau règlement européen sur la protection des données personnelles : entreprise, êtes-vous prête ? Les textes du nouveau règlement européen sur la protection des données à caractère personnel sont presque finalisés et seront adoptés au cours du premier semestre 2016. Ces nouvelles règles entreront en vigueur début 2018.
Elles reposent sur une refonte en profondeur des règles de protection des données définies au tout début d’Internet par la Directive 95/46/CE. Concrètement, qu’y a-t-il de nouveaux pour les entreprises ?
La transparence renforcée :
communiquer sur la durée de conservation des données
Tous les éléments ci-après, dont la durée de conservation des données, devront être visibles et lisibles auprès des internautes lors de la collecte d’adresses : identité du responsable du traitement, objet du traitement, destinataire des données, durée de conservation des données, droit d’accès, de rectification ou de suppression des données, droit à la portabilité des données, droit de saisir la CNIL.
Les entreprises devront également pouvoir leur fournir toutes leurs données personnelles dans un format simple et transférable via internet.
La traçabilité :
tenir un registre de tous les traitements effectués sur une adresse
Il sera obligatoire de prouver un consentement clair et non ambigu de l’internaute à recevoir des communications que cela soit en collecte directe ou indirecte, la source de collecte et d’établir un registre de tous les traitements effectués sur les adresses.
Le sous-traitant devient co-responsable
Jusqu’ici le sous-traitant n’avait aucune responsabilité. Désormais, le sous-traitant aura des obligations de documenter toute intervention dans les traitements de données personnelles et d’informer les responsables de traitement en cas de violation de données. Il doit aussi obtenir l’accord du responsable de traitement avant d’engager un autre prestataire pour une opération.
Mettre en place des outils contre le piratage de données
Il est désormais obligatoire de mettre en place toutes les mesures techniques et organisationnelles nécessaires contre le piratage : cryptage des données, rédaction d’une politique de sécurité informatique, réseau sécurisé, outil de protection des bases de données, etc. Si les mesures sont jugées trop légères, l’entreprise devra notifier le piratage à l’autorité de protection des données et aux personnes concernées (clients affectés) dans les un délai de 72 heures.
De plus, il sera obligatoire de tenir à disposition des internautes un texte clair expliquant la politique de sécurisation des données.
Des sanctions renforcées
En cas de non-respect des droits des personnes et de transfert de données non conformes, les amendes seront beaucoup plus conséquentes : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial pour les entreprises.
Votre entreprise est-elle prête à appliquer toutes ces mesures ?
