top of page

Règlement Général sur la Protection des Données (RGPD)

En mai 2018, avec l'entrée en vigueur du règlement général sur la protection des données (RGPD), il existe un ensemble de règles de protection des données pour toutes les entreprises opérant dans l'Union Européenne (UE), indépendamment de la localisation de l’organisation.

Le RGPD est un nouvel ensemble de règles conçues pour donner aux citoyens de l'Union européenne (UE) plus de contrôle sur leurs données personnelles. Il vise à simplifier l'environnement réglementaire des entreprises afin que les citoyens et les

entreprises de l'Union européenne puissent pleinement bénéficier de

l'économie numérique.

L'objectif du RGPD est de fournir des mesures plus strictes en matière de

confidentialité et de sécurité des données, ainsi que des divulgations et

des rapports plus conviviaux sur les pratiques de protection des données.

 

Le règlement vise à permettre aux individus de contrôler l'utilisation et le

stockage de leurs propres données, y compris toute information

personnelle identifiable. Selon les termes du RGPD, non seulement les

organisations doivent s'assurer que les données personnelles sont

collectées légalement et sous des conditions strictes, mais celles qui les

recueillent et les gèrent sont tenues de les protéger contre l'abus et

l'exploitation, ainsi que de respecter les droits des propriétaires des

données, sans quoi elles s'exposent à des sanctions pour ne pas le faire.

À quelles organisations le RGPD s'appliquent-elles?

Le RGPD s'applique à toute organisation opérant au sein de l'UE, ainsi

qu'à toute organisation en dehors de l'UE qui offre des biens ou des

services à des clients ou des entreprises dans l'UE. Cela signifie en fin de

compte que presque toutes les grandes entreprises dans le monde ont

besoin d'une stratégie de conformité RGPD.

Quelles sont les types de catégories de données définis par le RGPD?

Les règlements décomposent ces données en deux catégories :

  • Les données personnelles comprennent des informations comme les noms, les adresses e-mail et postales, les numéros de téléphone, les noms d'utilisateur, les adresses IP et les numéros de carte de crédit. Pensez à: les données que vous pourriez avoir à entrer lorsque vous commandez un produit en ligne.

  • Les données sur les catégories spéciales comprennent des informations qui révèlent des tendances raciales ou ethniques, des tendances politiques ou religieuses et des données génétiques, biométriques et autres données sur la santé. Pensez à: des informations qui pourraient être extraites d'endroits comme votre fil Facebook ou vos publications Instagram.

Quels sont les types d'entités définis par le RGPD?

Le RGPD définit également les deux types d'entités tierces qui peuvent accéder ou stocker les données des individus :

  • Les contrôleurs sont des commerçants et d'autres entreprises qui interagissent directement avec les consommateurs, recueillant des données personnelles. Le contrôleur est l'entité qui prend des décisions sur la façon dont les données seront utilisées ou traitées.

  • Les processeurs sont des entreprises qui stockent et cataloguent ces données pour le compte des contrôleurs. Le « traitement », qui désigne toute opération (manuelle ou automatisée et incluant, sans s'y limiter, la collecte, l'enregistrement, l'organisation, le stockage ou l'utilisation) qui est effectuée sur des données personnelles, est l'activité qui déclenche les obligations du RGPD.

Le RGPD est-il un cadre de conformité ?

Non, le RGPD est un texte réglementaire, et ce n'est pas un cadre de conformité. À ce stade, il n'y a pas d'attestation de conformité RGPD. Une organisation devrait respecter le RGPD, mais il n'y a pas de programme d’audit en mesure de confirmer que l'organisation est conforme au RGPD.

 

Quels sont les pays européens qui font partie du RGPD?

Le RGPD couvre tous les états membres de l'Union européenne, qui comprend: Autriche, Belgique, Bulgarie, Croatie, Chypre, République tchèque, Danemark, Estonie, Finlande, France, Allemagne, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, Portugal, Roumanie, Slovaquie, Slovénie, Espagne et Suède.

Le Royaume-Uni fait toujours partie de l'UE et est donc régi par le RGPD. Cela comprend: Channel Isles, Angleterre, Irlande du Nord, Ecosse et Pays de Galles.

Le RGPD comprend également les pays de l'Espace économique européen, tels que l'Islande, le Lichtenstein et la Norvège.

Les organisations canadiennes sont-elles concernées par le RGPD?

Bien sûr, si une organisation canadienne traite ou stocke plusieurs données personnelles de citoyens de l'UE, cette organisation doit respecter les règles du RGPD.

Les pénalités et amendes pour le RGPD

Dans le cadre du RGPD, les amendes sont administrées par l'organisme de réglementation de la protection des données dans chaque pays de l'UE. Cette autorité déterminera si une infraction a été commise et la sévérité de la peine. Ils utiliseront les 10 critères suivants pour déterminer si une amende sera évaluée et de quel montant sera la pénalité: gravité et nature, intention, atténuation, mesures de précaution, histoire, coopération, catégorie de données, notification, certification et aggravation/ facteurs atténuants.

Si les organismes de réglementation déterminent qu'une organisation a plusieurs violations du RGPD, elle sera pénalisée pour la plus grave, en autant que toutes les infractions font partie du même type d’opération de traitement.

Les infractions les plus graves vont à l'encontre des principes mêmes du droit à la vie privée et du droit à l'oubli qui sont au cœur du RGPD. Ces types d'infractions pourraient entraîner une amende pouvant aller jusqu'à 20 millions d’euros, soit 4 % du chiffre d'affaires annuel mondial de l'entreprise par rapport à l'exercice précédent, qui est toujours plus élevé.

Un délégué à l’égard de la protection des données (DPO) est-il obligatoire?

En vertu du RGPD, la nomination d'un DPO est obligatoire dans trois cas :

  1. L'organisation est une autorité ou un organisme public.

  2. Les activités de base de l'organisation consistent en des opérations de traitement de données qui nécessitent un suivi régulier et systématique des sujets de données à grande échelle.

  3. Les activités principales de l'organisation consistent en un traitement à grande échelle de catégories spéciales de données (données sensibles telles que les renseignements personnels sur la santé, la religion, la race ou l'orientation sexuelle) et/ou de données personnelles relatives aux condamnations et infractions pénales

Yucca Conseils TI peut vous assister

Nous pouvons vous assister dans l'ensemble de votre démarche de préparation afin de respecter le règlement européen RGPD. Avec l'aide de votre pilote interne, un échéancier réaliste sera élaboré et accepté par votre équipe de gestion.

RGPD-SOC 2 RGPD
GDPR-SOC 2 GDPR
bottom of page