Règlement général sur la protection des données (RGPD)

RGPD

Le marché de l’UE se développe chaque jour, ce qui augmente les flux de données à caractère personnel transfrontaliers, y compris l’utilisation d’Internet. Ce qui précède pose de gros problèmes avec la protection des données personnelles. Ainsi, l’objectif principal du RGPD est de protéger les données personnelles et les personnes concernées. Le règlement général sur la protection des données entre en vigueur le 25 mai 2018.

Le RGPD est conçu pour promouvoir le développement d’un espace de liberté, de sécurité, de justice et d’union économique; progrès économique et social; renforcer l’état de droit et la convergence des économies au sein du marché intérieur, ainsi que le bien-être général des individus dans les États membres de l’UE.

Le RGPD est nécessaire pour tous les États membres de l’UE. Pour les sociétés non résidentes de l’UE, y compris les pays de la CEI, les exigences s’appliquent dans les cas suivants:

1. Entreprises qui fournissent leurs biens ou services à des particuliers dans l’UE. Par exemple, les magasins en ligne, les voyagistes, les sociétés de transport qui se trouvent en Ukraine et traitent les données des résidents de l’UE.
2. Les entreprises qui mènent des études marketing couvrant les consommateurs de l’UE.
3. Les entreprises qui, dans le cadre de leurs activités, ont accès aux données personnelles des sujets dans l’UE. Il peut s’agir de n’importe quelle entreprise ukrainienne qui, par exemple, a accès aux données des employés de l’UE.

Les innovations principales importantes du RGPD, qui affecteront les pays caf, sont:

1. La nécessité d’introduire un nouveau poste dans l’entreprise – Data Protection Office

Il y a une nomination obligatoire de la personne qui est responsable de la protection des données personnelles de l’employé par toutes les entreprises traitant une quantité importante de données personnelles ou avec les catégories «spéciales» de ces données. Il peut exercer ses fonctions à la fois en vertu d’un contrat de travail et de droit civil

Le responsable doit avoir un niveau de connaissances approprié dans le domaine de la protection des données à caractère personnel. Un groupe de sociétés peut avoir un responsable s’il assure un accès sans restriction aux activités de chaque membre du groupe. De plus, il peut travailler dans l’entreprise soit sur le lieu de travail principal, soit à temps partiel.

2. Nécessité du représentant (représentation) dans l’UE

Si votre entreprise relève du RGPD et n’est pas située dans l’UE, la présence d’un représentant officiel de l’entreprise dans l’UE est nécessaire. Le représentant doit être désigné comme personne de contact sur toutes les questions de protection des données personnelles des citoyens de l’UE pour les autorités autorisées. Il peut s’agir à la fois d’une entité physique et juridique.

Parmi les exigences obligatoires pour un représentant est d’être établi (pour les personnes morales) ou d’être (pour les personnes physiques) dans l’un des pays dont les citoyens sont des personnes dont les données personnelles sont traitées ou dont le comportement fait l’objet d’une enquête.

L’exception à cette règle est: si le traitement des données n’est pas permanent; si les données personnelles traitées n’appartiennent pas aux catégories «spéciales» (comme déjà mentionné ci-dessus, y compris notamment les données génétiques, biométriques), relatives à des poursuites pénales ou à des accusations;

Si le caractère des données indique qu’il est impossible de violer gravement les droits de la personne en cas de fuite (il n’est pas difficile de supposer que les acteurs du marché qui n’ont pas l’intention de remplir cette exigence du RGPD pour une raison ou une autre essaiera d’utiliser une telle formulation d’estimation pour l’éviter).

3. Preuve de conformité aux exigences du RGPD

Le RGPD établit l’obligation de prouver la conformité de l’entreprise aux nouvelles exigences. Afin de prouver la conformité, les responsables du traitement doivent stocker toutes les informations relatives à l’activité avec des données personnelles (sur le responsable du traitement, les opérations de transfert de données, etc.).

4. Augmenter le niveau de sécurité des données personnelles

Le RGPD ne fixe pas de critères clairs pour évaluer le niveau de conformité aux exigences de sécurité. Au lieu de cela, il fonctionne avec des catégories de notation, ce qui implique que les contrôleurs et les sous-traitants devraient leur fournir le niveau de sécurité de l’information le plus élevé possible, y compris la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir un niveau élevé de sécurité de l’information.

Les mesures de sécurité peuvent être très différentes. Cela dépend des données traitées, de leur quantité, de la possibilité de fuite, etc. À titre d’exemple des mesures qui peuvent être prises, le RGPD prévoit la pseudonymisation et le cryptage.

5. Limitation de l’utilisation du stockage en nuage pour le placement de données personnelles

Selon le RGPD, le placement de données personnelles dans le stockage en nuage est considéré comme transférable à des tiers. Il est nécessaire de se méfier du stockage avec un faible niveau de protection, ainsi que de limiter le placement de données personnelles sur eux. Dans ce cas, si le transfert de données via le stockage dans le cloud se produit en dehors de l’UE sans sécurité adéquate, de telles actions sont en violation du droit de l’UE.

6. L’introduction d’un contrôle sur le transfert de données à caractère personnel en dehors de l’Espace économique européen

Selon la règle générale, les données à caractère personnel ne peuvent être transférées vers un pays tiers que s’il existe une conclusion positive de la Commission européenne concernant le respect par le pays de normes élevées de protection des données à caractère personnel. Le plus acceptable pour l’Ukraine sera l’utilisation de clauses contractuelles types, qui sont approuvées par la Commission européenne.

7. Amélioration générale de la vie privée

Le règlement prévoit la nécessité d’une plus grande confidentialité. En plus du niveau de confidentialité le plus élevé par défaut (par exemple, dans les réseaux sociaux), il peut être nécessaire de recueillir le consentement du sujet pour traiter chaque élément d’information individuel qu’il entre.

Les droits fondamentaux des personnes concernées par des données à caractère personnel (par exemple, le droit d’accéder aux données les concernant ou le droit d’exiger la fin du traitement des données à caractère personnel) étaient prévus par la directive. Le règlement a introduit, par exemple, des droits tels que le droit à la portabilité des données.

Le sujet des données personnelles peut demander à transférer ses données personnelles d’une organisation à une autre, par exemple, lors du changement d’établissement médical dans lequel il est servi.

Le règlement introduit également un nouveau droit – le droit à l’oubli, qui permet au sujet d’exiger la suppression des données le concernant de toutes les bases de données de l’entreprise. Il est important de noter qu’un tel droit n’est pas absolu et ne s’applique que dans les cas directement établis. Par exemple, si le traitement est effectué à la demande de la loi, le sujet ne peut pas exercer son droit à l’oubli.

En particulier, la personne doit connaître la finalité du traitement des données personnelles dès le stade de leur collecte. Si la collecte de données est le résultat de la volonté d’une personne, le responsable du traitement doit démontrer qu’elle présente ses données personnelles ici et là.

Bien qu’il existe actuellement des règles similaires en Ukraine, les avocats de l’UE indiquent que le niveau actuel de sensibilisation des utilisateurs n’est pas suffisant et que les réseaux sociaux, avec l’adoption du RGPD, deviendront inconscients.

À cet égard, il existe des dispositions intéressantes du règlement, qui stipule que les États membres de l’UE devraient garantir la confidentialité sur le lieu de travail. En particulier, si l’employeur surveille les travailleurs en installant des caméras, le travailleur doit connaître et consentir au traitement des données personnelles. Une telle règle s’appliquera également en Ukraine si l’employé est citoyen de l’UE.

Pour une consultation personnelle, veuillez contacter notre spécialiste. Si vous avez des questions ou avez besoin de conseils sur la protection des données personnelles ou le RGPD, appelez-nous aux numéros sur le site Web ou remplissez et envoyez-nous un formulaire en bas de page.