- L’établissement d'une structure de gouvernance avec des rôles et des responsabilités.
- Le maintien à jour d'enregistrements détaillés concernant toutes les opérations de traitement des données.
- La documentation des politiques et procédures de protection des données.
- L’organisation d’Analyses d'Impact relatives à la Protection des Données (AIPD) pour les opérations de traitement présentant un risque élevé.
- La mise en œuvre de mesures de sécurité appropriées des données à caractère personnel.
- La formation et la sensibilisation du personnel.
- Si nécessaire, la désignation d'un délégué à la protection des données.
Règlement Général sur la Protection des Données (RGPD)
Le Règlement Général Européen sur la Protection des Données (RGPD) remplace la Loi Informatique et Libertés depuis le 25 mai 2018. Le RGPD propose une approche plus actuelle aux problématiques liées à la protection des données. Il renforce les droits des individus et leur donne plus de contrôle sur la collecte et le traitement de leurs données et impose toute une série d'obligations sur les organisations afin qu'elles soient responsables de la protection des données.
Les élément clés du RGPD
Les élément clés du RGPD
1. Responsabilité et gouvernance
2. Les six principes de protection des données
3. Traitement légal
4. Droits à la vie privée des individus
5. Consentement valide
6. Protection des données dès la conception et par défaut
7. Transparence et notifications de confidentialité
8. Transferts de données hors de l'Union Européenne
9. Sécurité des données et signalement de violation
10. Délégué à la protection des données (DPD)
Exécution du RGPD et pénalités
Le RGPD a attiré l'intérêt des médias et des entreprises du fait des amendes administratives importantes en cas de défaut de conformité. Les infractions au RGPD n’entraineront pas toutes des amendes importantes.
Outre la capacité d'imposer des amendes, l'autorité de régulation dispose d'un éventail de pouvoirs de correction et de sanctions l’aidant à faire appliquer le RGPD. Il s'agit notamment d'avertissements et de réprimandes, d'interdictions temporaires ou permanentes de traitement des données, de demandes de rectification, de restriction ou d'effacement des données et de suspension des transferts de données vers des pays tiers.
Amendes administratives
Les amendes administratives sont discrétionnaires et non obligatoires. Elles doivent être imposées au cas par cas et se montrer ‘effectives, proportionnées et dissuasives’.
Les amendes administratives présentent deux niveaux :
- Jusqu'à 10 millions d’euros ou 2% du chiffre d’affaires global annuel – selon le montant le plus élevé.
- Jusqu'à 20 millions d’euros ou 4% du chiffre d’affaires global annuel – selon le montant le plus élevé.
Les amendes dépendent des articles spécifiques que la société a violés. Les infractions aux obligations de l'entreprise, notamment les violations de la sécurité des données, sont soumises au niveau inférieur alors que celles portant sur les droits à la vie privée des individus sont soumises au niveau supérieur.
Responsabilité en cas de dommage
Le RGPD confère aussi aux individus un droit de compensation en cas de dommage matériel ou moral résultant d'une infraction du RGPD. Dans certains cas, les entreprises à but non lucratif peuvent assumer une action en représentation au nom d'individus. Une porte s'ouvre ainsi pour les actions collectives en cas d'infractions de grande ampleur.