RGPD
Le RGPD défini un cadre légal en termes sécurité et d'utilisation des données a caractères personnelles
Définition
Face à un manque d’harmonisation des normes et de lois en termes de sécurité informatique l’Europe a opté en 2016 pour une nouvelle législation, le RGPD, permettant de clarifier et définir un cadre légal en termes sécurité informatique et d’utilisation des données. Cette loi appliquée à tous les acteurs actifs sur le territoire de l’Union européenne entré en vigueur le 25 mai 2018. Ces nouvelles règles consistent à donner aux citoyens plus de contrôle sur leurs données personnelles, à responsabiliser davantage les entreprises, à renforcer l’arsenal juridique et le pouvoir des organes de régulations des pays membres (ex : la CNIL[1] en France ou le BFDI[2] en Allemagne). Ce texte de référence en Europe aura des répercussions directes sur un grand nombre d’entreprises suisses. En effet, le RGPD est applicable, quelle que soit la nationalité ou la résidence des personnes physiques. En d’autres termes, les données personnelles d’une personne physique domiciliée en Suisse traitées dans un pays membre de l’Union européenne sont soumises à cette législation.
Obligations des entreprises
Voici un aperçu des grandes lignes et des comportements que doivent adopter les entreprises pour se conformer à la législation :
- Tenir un registre des activités de traitement des données
- Prouver que de bonnes méthodes de gouvernance interne pour le respect du RGPD ont été mises en place, notamment en termes de cybersécurité
- Nommer un délégué à la protection des données
- S’assurer de la conformité des éventuels sous-traitants choisis en matière de gestion ou de stockage des données numériques
- Notifier tout incident de sécurité aux autorités dans un délai de 72 heures
Droits des utilisateurs
L’un des buts de la réforme européenne est d’octroyer davantage de contrôle et de visibilité aux personnes concernées. L’article 12 du RGPD oblige le responsable de traitement à prévoir des procédures et des mécanismes permettant à la personne concernée d’exercer ses droits. Voici un résumé des droits que peuvent exercer les individus auprès des entreprises soumissent à la législation :
Le droit à l’information, art 13 & 14
Droit de savoir que nos données sont collectées et dans quels buts.
Le droit d’accès, art 15
Droit d’accès ou de copies des données personnelles collectées.
Le droit de rectification, art 16
Droit de demander que ses données soient rectifiées ou complétées.
Le droit d’effacement ou « droit à l’oubli », art 17
Droit de demander l’effacement de ses données.
Le droit à la limitation du traitement, art 18
Droit de demander des restrictions totales ou partielles concernant l’exploitation de ses données.
L’obligation de notification du responsable, art 19
Droit de connaître l’identité de la personne ou de l’entité qui exploite nos données.
Le droit à la portabilité des données, art 20
Droit de récupérer et de transmettre nos données à autrui.
Le droit d’opposition, art 21
Droit de s’opposer à l’exploitation de ses données.
Le droit de ne pas être soumis à une décision individuelle automatisée, art 22
Droit de s’opposer à l’exploitation et l’extrapolation de données à des fins de profilage automatisé.
Le droit à la communication d’une violation de données à caractère personnel, art 34
Droit d’être informé lorsque nos données sont exposées à des risques d’exploitation abusives.