RGPD : les 10 points clés

1. Périmètre d’application étendu

Les responsables de traitement ou sous-traitants établis hors UE peuvent être concernés. Ils doivent désigner un représentant dans l’UE. Pour les traitements transfrontaliers, une autorité chef de file est nommée.

2. Déclaration des violations de données à caractère personnel

Les responsables de traitement devront déclarer aux autorités les violations de sécurité sous 72 heures. L’information aux personnes concernées s’impose en cas de risques élevés pour leurs droits.

3. Evaluation de l’impact des opérations de traitement

Les entités devront évaluer l’impact des opérations de traitement lorsque les droits et les libertés des individus sont en jeu. En cas de risque élevé, la consultation de l’autorité de contrôle s’impose avant l’opération.

4. Protection des données par conception et par défaut (Privacy by design/by default)

Les entités devront mettre en œuvre des mesures de protection des données dès la conception ainsi que lors des activités de traitement en limitant l’étendue des données traitées au minimum, par défaut.

5. Principe de responsabilisation

Data Protection Officer (DPO) V/ Abandon des formalités préalables. Les entités devront mettre en place des programmes de conformité. Elles peuvent recourir à des mécanismes de certification ou d’adhésion à des codes de conduite.

6. Renforcement des droits des personnes

Obligation de transparence et nouveaux droits : portabilité, oubli, limitation du traitement, recours juridictionnel contre les responsables de traitement et les sous-traitants, réparation des dommages (action individuelle ou collective).

7. Obligations des sous-traitants

Les sous-traitants seront tenus conjointement responsables s’ils traitent des données à caractère personnel dans un autre contexte que celui décrit dans les instructions fournies par le responsable de traitement.

8. Base légale de traitement et consentement

La base légale de traitement (consentement, exécution d’un contrat, ou intérêt légitime) doit être indiquée aux personnes concernées lors de la collecte de données. Le consentement doit être explicite.

9. Amendes administratives plus importantes

Augmentation du montant. Deux paliers de sanctions en fonction du manquement. Jusqu’à 20 millions EUR ou 4 % du chiffre d’affaires mondial annuel de l’exercice précédent (montant le plus élevé étant retenu).

10. Considérant 171

Le considérant 171 clarifie le fait que lorsque le traitement est fondé sur le consentement, conformément à la Directive de 1995 sur la protection des données, il n’est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme aux exigences du RGPD.

 

Pour en savoir plus

Photo de Muriel Féraud-Courtin
Muriel Féraud-Courtin

Muriel Féraud-Courtin, Avocat Associée, a acquis une expérience de plus de 19 ans en droit des affaires et travaille en étroite coopération avec les avocats du réseau international Deloitte Legal. […]

Flambard Guillaume
Guillaume Flambard

Avocat, Directeur, Guillaume Flambard est spécialisé en droit des nouvelles technologies, de l’informatique et de la communication (certificat de spécialisation délivré par le Conseil National des Barreaux). Il accompagne les […]