Le Règlement européen sur les données personnelles : quelles nouveautés ?

Le Règlement européen sur les données personnelles : quelles nouveautés ?

Le Règlement sur les données personnelles a été adopté le 14 avril 2016, et entrera en vigueur dans un délai de deux ans.

Le Règlement s’appliquera de manière uniforme dans les 28 Etats membres, sans nécessité d’une loi de transposition.

Pour les entreprises, le nouveau régime sera plus contraignant. Parmi les nouveautés :

  • Les responsables de traitement n’auront plus l’obligation de déclarer leurs traitements aux autorités de contrôle. Ils devront en revanche établir un enregistrement interne des traitements et de tout élément attestant du respect du Règlement.
  • Quand les technologies mises en œuvre présentent un risque pour le respect de la vie privée, les responsables de traitement devront évaluer eux-mêmes les risques résultant de leur traitement au moyen d’études d’impact ;
  • Les failles de sécurité devront faire l’objet d’une notification à l’autorité de contrôle compétente dans un délai de 72h ;
  • Les sous-traitants assumeront une responsabilité directe ;
  • Les entreprises traitant des données sensibles ou un grand volume de données auront l’obligation de désigner un délégué à la protection des données.

Une sanction allant jusqu’à 4% du chiffre d’affaire annuel mondial ou 20 millions d’euros pourra être imposée aux responsables de traitement ou aux sous-traitants pour les violations les plus graves.

Il est donc indispensable pour les entreprises d’engager dès aujourd’hui une réflexion sur les adaptations à mettre en œuvre pour répondre aux exigences du nouveau cadre juridique.