Les changements apportés par la loi RGPD
Le RGPD a été conçu pour protéger tous les citoyens de l’Union européenne contre les atteintes à la vie privée et aux données. Bien que les principes clés de la confidentialité des données restent toujours conformes à la directive précédente, de nombreux changements ont été apportés à la nouvelle règlementation.
Portée territoriale accrue (applicabilité extraterritoriale)
On peut soutenir que le changement le plus important dans le paysage réglementaire de la confidentialité des données est lié à la compétence élargie du RPGD, dans la mesure où elle s’applique à toutes les sociétés qui traitent les données à caractère personnel des citoyens européens. Auparavant, l’applicabilité territoriale de la directive était ambiguë et faisait référence au traitement de données «dans le contexte d’un établissement». Ce sujet a été soulevé dans un certain nombre d’affaires judiciaires de haut niveau. Le RPGD rend son applicabilité très claire, il s’applique au traitement des données à caractère personnel par les responsables du traitement et les processeurs dans l’UE, que le traitement ait lieu dans l’UE ou non. Le RGPD s’applique également au traitement de données à caractère personnel des citoyens européens par un responsable du traitement ou un sous-traitant non établi dans l’UE, lorsque les activités concernent: l’offre de biens ou de services aux citoyens de l’UE (que le paiement soit exigé ou non) et la surveillance du comportement au sein de l’UE. Les entreprises non européennes qui traitent les données des citoyens de l’UE doivent également désigner un représentant dans l’UE.
Pénalités
Les organisations en infraction avec la loi RGPD peuvent être condamnées à une amende pouvant aller jusqu’à 4% du chiffre d’affaires global annuel ou à 20 millions d’euros (le montant le plus élevé). Il s’agit de l’amende maximale pouvant être infligée pour les infractions les plus graves, c’est le cas si le client n’a pas donné l’assentiment suffisant pour traiter les données ou enfreint le cœur des concepts de la protection intégrée de la vie privée par la conception. Il existe une approche progressive des amendes, par exemple, une entreprise peut être condamnée à une amende de 2% si elle n’a pas des dossiers en ordre (article 28). Il est important de noter que ces règles s’appliquent à la fois aux contrôleurs et aux processeurs.
Consentement
Les conditions du consentement ont été renforcées et les entreprises ne peuvent plus utiliser des termes et conditions illisibles avec un jargon juridique incompréhensible par le plus grand nombre. La demande de consentement doit être présentée sous une forme intelligible et facilement accessible. L’objet du traitement des données étant associé à ce consentement, ce dernier doit être clair, distinct des autres questions et présenté sous une forme bien lisible et facilement accessible, dans un langage clair et simple. Les consommateurs doivent également pouvoir retirer facilement leur consentement.
Notification d’infraction
Aux termes du RGPD, la notification d’infraction est désormais obligatoire dans tous les États membres où une atteinte à la sécurité des données risque d’avoir un impact sur les droits et libertés des personnes. Cela doit être réalisé dans les 72 heures après avoir pris connaissance de la violation. Les responsables du traitement de données sont également tenus d’informer leurs clients, les contrôleurs, sans retard indu après avoir pris connaissance d’une violation de données.
Droit d’accès
Le RGPD permet aux consommateurs d’obtenir du DPO les informations quant à l’utilisation et au stockage de leurs informations. En outre, le responsable du traitement doit fournir gratuitement une copie des données à caractère personnel sous forme électronique. Cela constitue un changement radical vers la transparence des données et la responsabilisation des personnes concernées.