Site icon Deloitte Société d'Avocats

RGPD : les 10 points clés

RGPD : les 10 points clés

1. Périmètre d’application étendu

Les responsables de traitement ou sous-traitants établis hors UE peuvent être concernés. Ils doivent désigner un représentant dans l’UE. Pour les traitements transfrontaliers, une autorité chef de file est nommée.

2. Déclaration des violations de données à caractère personnel

Les responsables de traitement devront déclarer aux autorités les violations de sécurité sous 72 heures. L’information aux personnes concernées s’impose en cas de risques élevés pour leurs droits.

3. Evaluation de l’impact des opérations de traitement

Les entités devront évaluer l’impact des opérations de traitement lorsque les droits et les libertés des individus sont en jeu. En cas de risque élevé, la consultation de l’autorité de contrôle s’impose avant l’opération.

4. Protection des données par conception et par défaut (Privacy by design/by default)

Les entités devront mettre en œuvre des mesures de protection des données dès la conception ainsi que lors des activités de traitement en limitant l’étendue des données traitées au minimum, par défaut.

5. Principe de responsabilisation

Data Protection Officer (DPO) V/ Abandon des formalités préalables. Les entités devront mettre en place des programmes de conformité. Elles peuvent recourir à des mécanismes de certification ou d’adhésion à des codes de conduite.

6. Renforcement des droits des personnes

Obligation de transparence et nouveaux droits : portabilité, oubli, limitation du traitement, recours juridictionnel contre les responsables de traitement et les sous-traitants, réparation des dommages (action individuelle ou collective).

7. Obligations des sous-traitants

Les sous-traitants seront tenus conjointement responsables s’ils traitent des données à caractère personnel dans un autre contexte que celui décrit dans les instructions fournies par le responsable de traitement.

8. Base légale de traitement et consentement

La base légale de traitement (consentement, exécution d’un contrat, ou intérêt légitime) doit être indiquée aux personnes concernées lors de la collecte de données. Le consentement doit être explicite.

9. Amendes administratives plus importantes

Augmentation du montant. Deux paliers de sanctions en fonction du manquement. Jusqu’à 20 millions EUR ou 4 % du chiffre d’affaires mondial annuel de l’exercice précédent (montant le plus élevé étant retenu).

10. Considérant 171

Le considérant 171 clarifie le fait que lorsque le traitement est fondé sur le consentement, conformément à la Directive de 1995 sur la protection des données, il n’est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme aux exigences du RGPD.

 

Pour en savoir plus

Exit mobile version