Règlement Général sur la Protection des Données (RGPD)
Les élément clés du RGPD
- L’établissement d'une structure de gouvernance avec des rôles et des responsabilités.
- Le maintien à jour d'enregistrements détaillés concernant toutes les opérations de traitement des données.
- La documentation des politiques et procédures de protection des données.
- L’organisation d’Analyses d'Impact relatives à la Protection des Données (AIPD) pour les opérations de traitement présentant un risque élevé.
- La mise en œuvre de mesures de sécurité appropriées des données à caractère personnel.
- La formation et la sensibilisation du personnel.
- Si nécessaire, la désignation d'un délégué à la protection des données.
- La protection des données doit être prise en compte dès la conception d’un nouveau processus, système ou technologie.
- Une AIPD fait partie intégrante du principe de confidentialité dès la conception.
- Le mode de collecte par défaut doit concerner uniquement les données à caractère personnel nécessaires à des fins spécifiques.
Exécution du RGPD et pénalités
Le RGPD a attiré l'intérêt des médias et des entreprises du fait des amendes administratives importantes en cas de défaut de conformité. Les infractions au RGPD n’entraineront pas toutes des amendes importantes.
Outre la capacité d'imposer des amendes, l'autorité de régulation dispose d'un éventail de pouvoirs de correction et de sanctions l’aidant à faire appliquer le RGPD. Il s'agit notamment d'avertissements et de réprimandes, d'interdictions temporaires ou permanentes de traitement des données, de demandes de rectification, de restriction ou d'effacement des données et de suspension des transferts de données vers des pays tiers.
Amendes administratives
Les amendes administratives sont discrétionnaires et non obligatoires. Elles doivent être imposées au cas par cas et se montrer ‘effectives, proportionnées et dissuasives’.
Les amendes administratives présentent deux niveaux :
- Jusqu'à 10 millions d’euros ou 2% du chiffre d’affaires global annuel – selon le montant le plus élevé.
- Jusqu'à 20 millions d’euros ou 4% du chiffre d’affaires global annuel – selon le montant le plus élevé.
Les amendes dépendent des articles spécifiques que la société a violés. Les infractions aux obligations de l'entreprise, notamment les violations de la sécurité des données, sont soumises au niveau inférieur alors que celles portant sur les droits à la vie privée des individus sont soumises au niveau supérieur.
Responsabilité en cas de dommage
Le RGPD confère aussi aux individus un droit de compensation en cas de dommage matériel ou moral résultant d'une infraction du RGPD. Dans certains cas, les entreprises à but non lucratif peuvent assumer une action en représentation au nom d'individus. Une porte s'ouvre ainsi pour les actions collectives en cas d'infractions de grande ampleur.