Règlement général sur la protection des données

Le règlement général sur la protection des données (RGPD), qui entre [...]

Non classé

5 décembre 2018

Le Règlement général sur la protection des données (RGPD), qui entre en vigueur à partir du 25 mai, régit la protection des personnes physiques à l'égard du traitement des données à caractère personnel et de la libre circulation de ces données. Ce règlement introduit non seulement de nouvelles règles, mais aussi des amendes élevées en cas de non-conformité, ce qui exige une attention particulière de la part des organisations qui traitent des données personnelles.
Le grand défi consiste à garantir le contrôle de la confidentialité des données dans notre société de l'information, où l'adoption croissante de l'internet, des réseaux sociaux et des modèles commerciaux numériques crée une dualité. D'une part, les gens sont attirés par les données de leur vie personnelle et les partagent ; d'autre part, les organisations recueillent de plus en plus d'informations sur leurs clients, généralement dans le but de fournir des services plus nombreux et de meilleure qualité, ou comme moyen de monétiser ces informations.
Le GDPR représente un changement fondamental dans la façon dont l'UE considère le traitement et l'accès aux données personnelles, dans une nouvelle approche qui maintient l'accent sur l'auto-responsabilité des Organisations. Dans l'UE, on estime que les entreprises exploitent les données personnelles de manière excessive et principalement pour leur propre bénéfice, avec un déficit de transparence sur la manière et la finalité du traitement.
Le nouveau règlement est d'une certaine complexité et représente un défi pour toutes les entreprises et organisations, publiques et privées, qui devront mettre en place des outils de contrôle et des procédures spécifiques pour la gestion et la protection des données de leurs clients.
Dans cet article technique, nous vous proposons de prendre connaissance des principales spécificités apportées par le cadre réglementaire du RGPD.

Champ d'application
Le RGPD réglemente le traitement des données personnelles, que ce soit par des moyens entièrement ou partiellement automatisés ou par des moyens non automatisés.
Exceptions :
- non soumis à la législation européenne ;
- les personnes physiques dans l'exercice d'activités personnelles ou domestiques ;
- les autorités, à des fins de prévention, d'enquête, de détection et de poursuite des infractions ou d'exécution des peines.
Elle est applicable dans les établissements de l'UE, ou même dans les établissements hors de l'UE, qui : a) offrent des biens ou des services dans l'espace européen, qu'il s'agisse de citoyens européens ou de ressortissants de pays tiers ; b) surveillent le comportement des citoyens dans l'espace européen.

Les concepts clés, à savoir
- Données personnelles
"une information relative à une personne concernée" "toute information relative à une personne physique identifiée ou identifiable à travers cette information".
- Données sensibles
"convictions philosophiques ou politiques, appartenance à un parti ou à un syndicat, foi religieuse, vie privée et origine raciale ou ethnique, données relatives à la santé et à la vie sexuelle, données génétiques".
- Traitement des données
"opération ou ensemble d'opérations effectuées sur des données à caractère personnel", à savoir "la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction".
- Responsable du traitement
- personne physique ou morale
- individuellement ou avec d'autres
- détermine les finalités et les moyens du traitement des données à caractère personnel

- Sous-traitant
- personne physique ou morale
- traite les données à caractère personnel pour le compte du responsable du traitement

- Violation de données
- accidentellement ou illégalement
- la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé.

Droits des détenteurs (Nouveau)
- Transparence et langage clair (plus d'information, plus de communication, plus d'exercice des droits)
- Droit à l'information
- Droit d'accès
- Droit de rectification, d'effacement (oubli) et de limitation
- Droit d'opposition
- Droit de ne pas faire l'objet de décisions automatisées
- Droit à la portabilité
- Communication d'une violation de données personnelles à la personne concernée

Obligations du responsable du traitement
- Légalité du traitement :
- Consentement : devient un consentement libre, spécifique, éclairé et explicite (opt-in), par opposition aux options prévalidées ou au silence (opt-out) actuels.
- Contrat
- Mesures techniques et organisationnelles appropriées pour garantir et prouver le traitement conformément au GDPR.
- Le respect de la vie privée dès la conception :
- des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation et l'anonymisation
- garanties nécessaires au respect du GDPR (licéité du traitement, politiques, procédures, codes de conduite).
- Vie privée par défaut : mesures techniques et organisationnelles, telles que la minimisation et le contrôle de l'accès.
- Notification de la violation à l'autorité de contrôle, dans les 72 heures.
- Garanties adéquates du sous-traitant
- Entreprise de plus de 250 employés : enregistrement obligatoire des activités de traitement
- Évaluation des incidences sur la vie privée : obligatoire s'il y a profilage, données sensibles, traitement à grande échelle. Une consultation préalable avec le CNPD est requise
- Transferts internationaux

DPO - Délégué à la protection des données
L'existence d'un DPD est obligatoire dans les organisations suivantes :
- Autorité ou organisme public (à l'exception des tribunaux et des BCP)
- qui se livrent au traitement de données à grande échelle
- avec le traitement à grande échelle de données sensibles et/ou de données relatives à des infractions ou à des condamnations
Fonctions du DPD :
- Information/sensibilisation
- Contrôle de la conformité au RGPD
- Conseil et contrôle de la réalisation des PIA - Privacy Impact Assessment (évaluation des incidences sur la vie privée)
- Coopération et point de contact avec l'autorité de surveillance

Amendes et autorité de surveillance
- Plus d'indépendance pour l'Autorité
- Responsabilité du suivi de la mise en œuvre du GDPR
- Activité préventive pour le contrôleur et/ou le processeur
- Harmonisation
- Demandes d'autorisation dans différents EM avec des décisions différentes
- Retard dans l'obtention d'une réponse
- Harmonisation des règles, notamment en matière de transferts internationaux
- Une coopération internationale accrue entre les autorités des EM et la Commission européenne
- Pouvoir d'investigation | pouvoir de correction | pouvoir de conclusion et d'autorisation
- Réalisation d'audits
- Avertissements, réprimandes et injonction de satisfaire les demandes d'exercice des droits par les titulaires de droits
- Émission d'avis ; autorisation de traitement ; approbation de codes de conduite
Application des sanctions
La limite maximale pour l'application des amendes a été définie par le GDPR, à charge pour chaque État membre de définir un plafond minimal. Au Portugal, le cadre n'a pas encore été défini, donc à l'heure actuelle, l'application de toute amende est illégale et inconstitutionnelle.
Plafonnement de l'imposition d'amendes :
- Gravité inférieure : 10 millions d'euros, ou 2% du chiffre d'affaires annuel (des deux, le chiffre le plus élevé)
- Gravité la plus élevée : 20 millions d'euros ou 4% de chiffre d'affaires annuel (des deux, le chiffre le plus élevé)
Outre l'application de sanctions par l'autorité compétente, l'une des principales questions auxquelles les organisations sont susceptibles d'être confrontées est le droit du titulaire à une indemnisation pour les dommages matériels et/ou immatériels.

Se conformer au RGPD, étape par étape
1. Phase de diagnostic
Lisez le règlement. Identifier les données existantes dans l'entreprise et la manière dont elles sont traitées. Quels types de données existent ? Dans quel but ? Quelle est la période de conservation ? Comprendre les flux de données existants. Y a-t-il des fournisseurs qui y ont accès ?

2. Phase de révision
Vérifiez s'il existe un consentement des personnes concernées pour l'utilisation et le traitement de données déjà existantes. Vérifier les documents de consentement. Examinez les politiques de confidentialité et les conditions d'utilisation, ainsi que les contrats avec les fournisseurs et autres sous-traitants. Mettre toute la documentation en conformité avec le GDPR.

3. Phase DPO
Comprendre si l'entreprise remplit les conditions pour devoir désigner un délégué à la protection des données (DPD). Désignez un DPD si nécessaire et faites-le participer au processus de préparation.

4. Phase de mise en œuvre
Identifier les mesures à adopter. Évaluer si les systèmes informatiques doivent être remplacés. Acquérir les systèmes nécessaires. Concevoir un plan de mise en œuvre. Mettez en œuvre les nouvelles mesures et évaluez si tout est conforme.

5. Phase de conformité
Formation des employés. Assurer une conformité continue avec le RGPD. Les affaires courantes à partir du 25 mai.

Partagez cette histoire, choisissez votre plateforme !

Autres nouvelles

Nous devons épargner davantage ! La construction d'un avenir sûr commence aujourd'hui.

Nous devons épargner davantage ! La construction d'un avenir sûr commence aujourd'hui.

18 novembre 2024|0 Commentaires
Les salaires au Portugal sont peu attrayants par rapport aux autres pays de l'Union européenne

Les salaires au Portugal sont peu attrayants par rapport aux autres pays de l'Union européenne

8 novembre 2024|0 Commentaires
Paiement IMI : Qu'est-ce que c'est et comment cela fonctionne ?

Paiement IMI : Qu'est-ce que c'est et comment cela fonctionne ?

1er novembre 2024|1 Commentaire

Organisez une réunion en face à face.

Appelez-nous dès aujourd'hui au (+351) 226001265.

Nous répondrons rapidement.

Nous vous offrons une vision avec des solutions de gestion

livre des plaintes en ligne
Systèmes certifiés ISO 27001

Liens

Siège social

Rue Eugénio de Castro
248 2 S237
4100-225 Porto | Portugal

*Appel vers le réseau fixe national

2024 - Serro & Andrade

Retour au début
Nous utilisons des cookies pour garantir une meilleure expérience utilisateur. En naviguant, vous consentez à leur utilisation. Accepter