Le RGPD en 2021 : Qu’est-ce qui change ?
Sommaire
Le Règlement Général sur la Protection des Données (RGPD) est conçu par le parlement européen dans le but de renforcer les droits des individus en ce qui concerne la collecte et l’utilisation des données personnelles. Adopté en avril 2016 et entrée en vigueur le 25 mai 2018, le RGPD a connu de nouvelles orientations en 2021. Concrètement, qu’est-ce qui change ?
Le RGPD en quelques lignes
Les différentes évolutions technologiques et les effets de la mondialisation ont engendré des problématiques par rapport à la protection des données à caractère personnel. Face à ces évolutions, il est indispensable de mettre en place un cadre de protection des données de façon rigoureuse et cohérente dans les pays de l’Union européenne.
Le RGPD s’applique à toute entité (société, organisme, institution, etc.) faisant la récolte et la manipulation des données à caractère personnel sur les individus résidants dans l’espace UE.
Quelles sont les nouvelles orientations du RGPD en 2021 ?
Le principal enjeu du RGPD est la responsabilisation des entreprises afin de créer plus de traçabilité et de transparence. En effet, il existe un principe d’accountability qui oblige les entreprises à garantir en tout instant que les processus crées sont en conformité et sécurisés tout en garantissant la confidentialité des données depuis la conception de tout projet (Privacy by design), et ce par défaut (Privacy by default).
Dès 2021, les entreprises devront tenir un registre des traitements des données dans lequel sera recensé et consigné chaque traitement de données personnelles au sein de la structure. Il est donc fait obligation à toutes les entreprises de repenser tous les processus afin de prouver en tout temps la conformité.
Voici les nouvelles obligations des entreprises :
La légitimité
Désormais, toutes les données doivent être obtenues pour des fins déterminées, explicites et légitimes selon l’article 5.1.b.
Ce faisant, l’entreprise doit informer les individus de l’objet de la collecte des données tout en donnant détaillant les finalités d’usage. Par ailleurs, il faudra garantir de minimiser les données récoltées au minimum indispensable pour satisfaire à la finalité énoncée au préalable. De même, l’entreprise doit préciser les durées de conservation des données dans les bases.
La licéité et la transparence
Il n’existe plus de consentement tacite. Selon les nouvelles obligations, les individus doivent donner de façon systématique leur accord ou refus à l’utilisation de leurs données personnelles. Se basant sur l’article 7, l’individu doit donner son consentement explicite à l’usage de ses données. Cela suppose qu’il n’y a plus de case préalablement cochée.
Par ailleurs, il est accordé à tout individu, le droit à l’oubli et son droit à la portabilité dès qu’il le souhaite.
La sécurité et le respect de la vie privée
Dans un intervalle de 72h, les entreprises doivent notifier à la CNIL les cas de violation de la vie privée, de vol ou de perte de données. Il incombe à chaque responsable de traitement de mettre en place des mesures techniques et organisationnelles pour assurer la confidentialité des données, leur intégrité et leur disponibilité dans des délais adéquats. En effet, le responsable de traitement est le garant au sein de l’entreprise du respect des mesures techniques et organisationnelles.
L’identification d’un data Protection Officer est indispensable devient nécessaire lorsque le traitement est réalisé par une autorité ou un organisme public ; lorsque l’activité de l’entreprise la conduit à faire un suivi régulier et systématique. C’est aussi le cas lorsque l’activité des entreprises les amène à traiter à grande échelle des données hautement sensibles.
À partir du 1er avril 2021, la notion d’évaluation du risque devient une pièce principale de la stratégie RGPD impliquant de ce fait, une remise en question des traitements au niveau de chaque point organisationnel.