Le nouveau règlement européen sur la protection des données personnelles : quels impacts ?
- On 12 octobre 2016
Le règlement européen sur la protection des données personnelles sera applicable en mai 2018.
Les autorités de protection européennes se sont toutefois fixées pour objectif d’établir certaines lignes directrices d’ici la fin de l’année 2016.
Il est donc intéressant de se pencher dès aujourd’hui sur les principaux impacts de ce règlement.
Une sécurité juridique accrue: une réponse unique sur l’ensemble du territoire de l’UE
Les entreprises seront en contact avec un « guichet unique », à savoir l’autorité de protection des données de l’État membre où se trouve leur « établissement principal ».
Dès lors qu’un traitement concernera plusieurs Etats de l’UE, l’autorité compétente coopérera avec les autres autorités concernées afin d’adopter une décision conjointe sur la conformité d’un traitement ou sur un manquement au règlement.
De nouveaux droits
Le droit à la portabilité
Ce droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et le cas échéant, de les transférer ensuite à un tiers. [/fruitful_tab]
Les actions collectives
Les associations actives dans le domaine de la protection des données personnelles auront la possibilité d’introduire des recours collectifs.
Un droit à réparation
Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement a le droit d’obtenir réparation du préjudice subi.
La certification
Le règlement encourage la mise en place de mécanismes de certification, de labels et de marques en matière de protection des données.
Ces dispositifs permettraient aux entreprises certifiées de démontrer qu’elles respectent la législation sur la protection des données.
La réalisation d’une étude d’impact sur la vie privée
Pour tous les traitements de données sensibles qui révèlent notamment l’origine raciale, les opinions politiques ou religieuses, l’appartenance syndicale, les données de santé, les données génétiques ou biométriques, les données de profilage, l’entreprise devra conduire une étude d’impact sur la vie privée (EIVP) faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.
Si l’entreprise ne parvient pas à réduire les risques liés au traitement par des mesures appropriées, elle devra consulter l’autorité de protection des données avant de mettre en œuvre ce traitement.
La désignation d’un délégué à la protection des données
Les entreprises traitant à grande échelle les données sensibles devront obligatoirement désigner un délégué à la protection des données qui sera chargé de vérifier la conformité du traitement.
Des obligations étendues aux sous-traitants
Le règlement étend aux sous-traitants une large partie des obligations imposées aux responsables de traitement.
