RGPD

Le RGPD défini un cadre légal en termes sécurité et d'utilisation des données a caractères personnelles

Définition

Face à un manque d’harmonisation des normes et de lois en termes de sécurité informatique l’Europe a opté en 2016 pour une nouvelle législation, le RGPD, permettant de clarifier et définir un cadre légal en termes sécurité informatique et d’utilisation des données. Cette loi appliquée à tous les acteurs actifs sur le territoire de l’Union européenne entré en vigueur le 25 mai 2018. Ces nouvelles règles consistent à donner aux citoyens plus de contrôle sur leurs données personnelles, à responsabiliser davantage les entreprises, à renforcer l’arsenal juridique et le pouvoir des organes de régulations des pays membres (ex : la CNIL^[1] en France ou le BFDI^[2] en Allemagne). Ce texte de référence en Europe aura des répercussions directes sur un grand nombre d’entreprises suisses. En effet, le RGPD est applicable, quelle que soit la nationalité ou la résidence des personnes physiques. En d’autres termes, les données personnelles d’une personne physique domiciliée en Suisse traitées dans un pays membre de l’Union européenne sont soumises à cette législation.

^[1] https://www.cnil.fr/

^[2] https://www.bfdi.bund.de/

Obligations des entreprises

Voici un aperçu des grandes lignes et des comportements que doivent adopter les entreprises pour se conformer à la législation :

Tenir un registre des activités de traitement des données
Prouver que de bonnes méthodes de gouvernance interne pour le respect du RGPD ont été mises en place, notamment en termes de cybersécurité
Nommer un délégué à la protection des données
S’assurer de la conformité des éventuels sous-traitants choisis en matière de gestion ou de stockage des données numériques
Notifier tout incident de sécurité aux autorités dans un délai de 72 heures

Droits des utilisateurs

L’un des buts de la réforme européenne est d’octroyer davantage de contrôle et de visibilité aux personnes concernées. L’article 12 du RGPD oblige le responsable de traitement à prévoir des procédures et des mécanismes permettant à la personne concernée d’exercer ses droits. Voici un résumé des droits que peuvent exercer les individus auprès des entreprises soumissent à la législation :

Le droit à l’information, art 13 & 14

Droit de savoir que nos données sont collectées et dans quels buts.

Le droit d’accès, art 15

Droit d’accès ou de copies des données personnelles collectées.

Le droit de rectification, art 16

Droit de demander que ses données soient rectifiées ou complétées.

Le droit d’effacement ou « droit à l’oubli », art 17

Droit de demander l’effacement de ses données.

Le droit à la limitation du traitement, art 18

Droit de demander des restrictions totales ou partielles concernant l’exploitation de ses données.

L’obligation de notification du responsable, art 19

Droit de connaître l’identité de la personne ou de l’entité qui exploite nos données.

Le droit à la portabilité des données, art 20

Droit de récupérer et de transmettre nos données à autrui.

Le droit d’opposition, art 21

Droit de s’opposer à l’exploitation de ses données.

Le droit de ne pas être soumis à une décision individuelle automatisée, art 22

Droit de s’opposer à l’exploitation et l’extrapolation de données à des fins de profilage automatisé.

Le droit à la communication d’une violation de données à caractère personnel, art 34

Droit d’être informé lorsque nos données sont exposées à des risques d’exploitation abusives.