En mai 2018, entrera en vigueur un règlement européen sur la protection des données personnelles. Les entreprises doivent s’y préparer !

GDPR : derrière cet acronyme se cache un règlement européen qui entrera en vigueur le 25 mai prochain dans tous les Etats de l’UE. Le GDPR (General Data Protection Regulation) est un nouveau règlement européen qui instaure une série de mesures définissant le cadre juridique de protection des données personnelles. Ce règlement vise à renforcer les droits des citoyens de l’UE et à leur garantir plus de contrôle sur leurs données personnelles.

De l’artisan à la multinationale en passant par les PME ou les collectivités publiques, toute structure qui dispose d’un fichier client est concernée et devra donc se mettre en conformité avec le Règlement Général sur la Protection des Données.

Principe du consentement
Avec ce règlement, la présomption de consentement disparaît. Désormais, l’accord pour la collecte et la conservation de données personnelles devra être explicite dans toute l’UE.

Le droit d’accès et de rectification est lui aussi pleinement inscrit dans le règlement. Le texte précise de plus les conditions d’exercice du “droit à l’oubli” qui permet à tout un chacun de se faire effacer d‘un fichier.
Le règlement est assorti d’obligations nouvelles pour les entreprises traitant des données.
Ces dernières devront désormais fournir publiquement des informations précises sur leur méthode de collecte et de conservation des données personnelles. Les citoyens européens  disposeront ainsi dans un souci de plus grande transparence de davantage d’informations sur la façon dont leurs données sont traitées.

Les obligations imposées aux entreprises
Si le GDPR simplifie les formalités administratives, il impose en revanche aux entreprises un certain nombre de nouvelles contraintes :

-Respect de la protection des données dès la conception du fichier (article 25)

-Obligation de documenter la pratique de traitement définie par l’entreprise (article 24);

-Étude d’impact avant l’exécution de certains traitements pouvant engendrer un risque élevé pour les droits et libertés des personnes physiques (article 35);

-Obligation de nommer un délégué à la protection des données au sein de l’entreprise

Les sanctions
En cas d’infraction, des sanctions administratives sont prévues. Elles vont du simple avertissement à une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise dans le cas de multinationales.

Plus d’infomations :

http://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:32016R0679

www.cnil.fr