Vous n’avez pas pu y échapper : le 25 mai 2018 est entré en vigueur le RGPD. Un terme lu et relu, qui concerne la protection des données personnelles, mais de quoi s’agit-il au juste ? Et puis surtout, quel rapport avec la généalogie successorale ? Voici quelques explications.

Qu’est-ce que le RGPD ?
Le RGPD – Règlement Européen sur la Protection des Données – est, comme son nom l’indique, un Règlement européen, c’est-à-dire un texte ayant force de loi dès son entrée en vigueur dans les pays de l’Union Européenne, sans besoin de recourir à une loi nationale pour le retranscrire. Son entrée en vigueur a eu lieu le 25 mai 2018.

Quel champ le RGPD couvre-t-il ?
Ce nouveau Règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 en renforçant les obligations relatives à la protection des données personnelles. Il s’applique à tout organisme, public ou privé, qui traite des données personnelles – c’est à ce titre qu’est concerné ADD Associés.

Le RGPD s’applique à tout organisme, public ou privé, qui traite des données personnelles.

Quelles nouveautés introduit-il ?
1/ De nouveaux droits :
Les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. Une personne peut de récupérer les données qu’elle a fournies, sous une forme aisément réutilisable, et, le cas échéant, les transférer à un tiers. Autres éléments : une introduction du principe des actions collectives, et un droit à réparation des dommages matériels ou moraux.

2/ Une nouvelle approche de la protection des données :
Alors que le contexte légal et réglementaire s’appuyait jusqu’ici sur une logique de formalités préalables (déclarations, autorisations), le RGPD bascule donc dans une logique de conformité, dont les acteurs sont responsables sous le contrôle et avec l’accompagnement du régulateur. Le Règlement Européen sur la Protection des Données repose sur la protection des données dès la conception des outils qui serviront à les exploiter (privacy by design). Ces outils sont à la fois les systèmes techniques (logiciels, matériel de stockage) et les procédures de travail, modes opératoires de gestion des flux de données. Les responsables de traitements (toute personne ou structure amenée à gérer des données personnelles) doivent mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, par défaut, et ce dès la conception du produit ou du service.

Comment cela se traduit-il pour les entreprises ?
Le RGPD introduit de nouveaux outils pour valider la conformité des acteurs. Ces « outils » sont autant de règles/procédures à respecter désormais :
1/ La tenue d’un registre des traitements mis en œuvre dans l’entreprise.

2/ La notification de failles de sécurité (aux autorités et personnes concernées) – Lorsqu’il constate une violation de données à caractère personnel, le responsable de traitement doit notifier à l’autorité de protection des données la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne.

3/ La nomination d’un DPO (Data Protection Officer – délégué à la protection des données).

4/ Les études d’impact sur la vie privée (EIVP) – notamment s’agissant de traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi, fait nouveau, les données génétiques ou biométriques).

Le RGPD bascule dans une logique de conformité, dont les acteurs sont responsables sous le contrôle et avec l’accompagnement du régulateur.

Quelles sont les sanctions en cas de non-respect du RGPD ?
Les autorités de contrôle peuvent prononcer des sanctions administratives, dont notamment : prononcer un avertissement, mettre en demeure l’entreprise ou limiter temporairement ou définitivement un traitement. Elles peuvent également infliger des amendes administratives qui s’élèvent, selon la catégorie de l’infraction, à 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Quelles sont les actions entreprises par ADD Associés pour que l’ensemble du groupe ADD soit en phase avec ses obligations ?
C’est très simple : ADD Associés a signé dès début 2017 un contrat pluri-annuel d’accompagnement qui couvre les périmètres indispensables du travail de mise en conformité. Mais ceci, nous en parlerons dans un prochain article…