1. Périmètre d’application étendu
Les responsables de traitement ou sous-traitants établis hors UE peuvent être concernés. Ils doivent désigner un représentant dans l’UE. Pour les traitements transfrontaliers, une autorité chef de file est nommée.
2. Déclaration des violations de données à caractère personnel
Les responsables de traitement devront déclarer aux autorités les violations de sécurité sous 72 heures. L’information aux personnes concernées s’impose en cas de risques élevés pour leurs droits.
3. Evaluation de l’impact des opérations de traitement
Les entités devront évaluer l’impact des opérations de traitement lorsque les droits et les libertés des individus sont en jeu. En cas de risque élevé, la consultation de l’autorité de contrôle s’impose avant l’opération.
4. Protection des données par conception et par défaut (Privacy by design/by default)
Les entités devront mettre en œuvre des mesures de protection des données dès la conception ainsi que lors des activités de traitement en limitant l’étendue des données traitées au minimum, par défaut.
5. Principe de responsabilisation
Data Protection Officer (DPO) V/ Abandon des formalités préalables. Les entités devront mettre en place des programmes de conformité. Elles peuvent recourir à des mécanismes de certification ou d’adhésion à des codes de conduite.
6. Renforcement des droits des personnes
Obligation de transparence et nouveaux droits : portabilité, oubli, limitation du traitement, recours juridictionnel contre les responsables de traitement et les sous-traitants, réparation des dommages (action individuelle ou collective).
7. Obligations des sous-traitants
Les sous-traitants seront tenus conjointement responsables s’ils traitent des données à caractère personnel dans un autre contexte que celui décrit dans les instructions fournies par le responsable de traitement.
8. Base légale de traitement et consentement
La base légale de traitement (consentement, exécution d’un contrat, ou intérêt légitime) doit être indiquée aux personnes concernées lors de la collecte de données. Le consentement doit être explicite.
9. Amendes administratives plus importantes
Augmentation du montant. Deux paliers de sanctions en fonction du manquement. Jusqu’à 20 millions EUR ou 4 % du chiffre d’affaires mondial annuel de l’exercice précédent (montant le plus élevé étant retenu).
10. Considérant 171
Le considérant 171 clarifie le fait que lorsque le traitement est fondé sur le consentement, conformément à la Directive de 1995 sur la protection des données, il n’est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme aux exigences du RGPD.
Pour en savoir plus
- Voir le texte du RGPD
- RGPD à l’ère du numérique : Conformité, Application et Gestion des risques
- RGPD : le G29 adopte les lignes directrices définitives concernant les analyses d’impacts
- La CNIL publie un guide pratique pour accompagner les prestataires sous-traitants à respecter les obligations spécifiques issues du RGPD
