Citywire - Pour les sélectionneurs de fonds

GDPR prêt au décollage

GDPR prêt au décollage

À partir du 25 mai 2018 sera applicable le Règlement UE 2016/679 relatif à la protection des données des personnes physiques concernant le traitement des données personnelles, avec pour finalité d’instaurer un cadre juridique uniforme entre les États de l’Union Européenne.

À quels sujets s’applique-t-il ?

À toutes les personnes qui se trouvent dans l’UE (indépendamment de leur nationalité-résidence) et qui sont destinataires d’offres de produits ou de services, ou dont les comportements au sein de l’UE font l’objet de surveillance. Il s’applique, de plus, aux traitements des données effectués par des Titulaires établis à n’importe quel endroit sujets, en vertu du droit international public, au droit d’un État membre de l’UE.

Comment doit être traité le consentement ?

Le consentement doit être libre, spécifique, informé et sans équivoque (et, seulement pour les données sensibles, également explicite). Le consentement donné à travers des cases présélectionnées sur un formulaire n’est plus admis, car il doit être exprimé par le biais d’une « déclaration ou d’une action positive sans équivoque », la forme écrite n’étant toutefois pas nécessaire.

Le cercle des droits déjà reconnus aux personnes concernées s’étend avec le droit à l’oubli, à savoir la suppression de toutes les données personnelles, le droit de limitation du traitement et le droit à la portabilité des données.

Qui sont les protagonistes ?

Il s’agit du titulaire et du responsable du traitement, figures déjà existantes précédemment. La nouveauté se trouve dans le fait que le second a des obligations spécifiques envers le premier, dont la tenue du registre des traitements (obligatoire pour les entreprises avec plus de 250 employés ou moins dans des cas particuliers pour la nature non occasionnelle ou risquée du traitement), l’adoption de mesures spécifiques visant à garantir la sécurité du traitement, la désignation d’un DPO et la possibilité de nommer un sous-responsable du traitement. Le responsable du traitement doit être désigné par le titulaire par un contrat fournissant la preuve que le responsable possède les compétences appropriées pour couvrir cette fonction.

 S’il y avait plusieurs cotitulaires du traitement, il est obligatoire de délimiter le champ de responsabilité respectif.

De plus, pour l’exécution de leurs missions, une nouvelle approche basée sur le principe de responsabilisation (« accountability ») possède une place centrale, selon laquelle le titulaire du traitement est responsable de l’application des principes contenus dans le GDPR et doit être capable de démontrer que les opérations de traitement sont conformes aux nouvelles règles.

Qui est le DPO ?

C’est le Data protection officer que le titulaire et le responsable du traitement sont obligés de nommer si leur activité principale consiste en des traitements exigeant une surveillance régulière et systématique des intéressés à grande échelle, ou en des traitements à grande échelle de données dites sensibles ou de données relatives à des condamnations pénales et délits. Le DPO, entre autres, devra être nommé de manière certaine parmi les instituts de crédit, entreprises d’assurance, systèmes d’information de crédit, sociétés financières.

 Le DPO peut être un sujet interne ou externe à l’organisme possédant les qualités professionnelles adéquates sans qu’il y ait besoin d’attestations spécifiques ou d’inscriptions à des ordres professionnels. Il a des devoirs d’information, de conseil, de contrôle dans le respect des règles et des politiques du titulaire, responsable, et sert également de point de contact avec l’autorité de contrôle.

Que faire si les données personnelles sont violées ?

Toutes les violations de sécurité comportant de manière accidentelle ou illicite la destruction, la perte, la modification, la divulgation non autorisée ou l’accès aux données personnelles transmises, conservées ou, dans tous les cas, traitées, doivent être communiquées à l’Autorité Compétente, au garant de la confidentialité ainsi qu’aux personnes concernées si la violation comporte des risques pour ces derniers.  

Les délais pour la notification sont courts : la communication à l’autorité compétente doit être effectuée dans les 72 heures suivant la prise de connaissance de la violation

Sanctions

Le GDPR a augmenté le montant des sanctions administratives pécunières applicables par les autorités de contrôle compétentes. En fonction du type de violation, le montant maximum des sanctions peut atteindre les 10 ou 20 millions d’Euros pour les personnes physiques, tandis que pour les entreprises 2% ou 4% du chiffre d’affaire annuel global de l’année précédente. Par ailleurs, le GDPR laisse également la possibilité aux États Membres d’introduire des sanctions supplémentaires ayant une nature différente.

Pour consulter cet article

Se connecter s’inscrire gratuitement