Le règlement RGDP (GDPR en anglais) exige que les procédures informatiques soient documentées. Ce règlement appelle les personnes concernées à être notifiées en cas d’atteinte aux données à caractère personnel (les noms, les adresses, les numéros de téléphone, les numéros de compte, et depuis plus récemment, les adresses e-mail et les adresses IP).
1. Respect de la vie privée dès la conception
Ce qui englobe la réduction au minimum de la collecte de donnée ainsi que de sa sauvegarde et le devoir d’obtenir l’accord des personnes concernées.
2. Évaluations d’impact du GDPR
Lorsque certaines données personnelles sont traitées par les entreprises, celles-ci doivent analyser les risques d’atteinte à la vie privée des personnes concernées.
3. Droit à l’effacement et à l’oubli
Ce droit permet à toute personne (consommateur, usager) de demander la suppression de ses données personnelles
4. Extraterritorialité
Il s’agit d’un nouveau principe faisant partie du règlement GDPR qui stipule que même si une entreprise n’est pas physiquement présente dans l’UE mais qu’elle dispose en sa possession de données personnelles appartenant à des citoyens européens (comme par exemple à travers un site Web) elle doit se soumettre aux obligations définies par le règlement.
5. Notification en cas d’atteinte aux données
Si les entreprises sont sujettes à une atteinte des données à caractère personnel, elles ont comme devoir de le signaler aux autorités dans un délai de 72h à compter de la détection. La Suisse n’étant pas membre de l’UE, l’autorité de contrôle sera dans l’état membre de l’individu auquel se rapporte les données.
6. Amendes
Les transgressions au règlement recevront une amende pouvant atteindre un montant représentant jusqu’à 4% du chiffre d’affaire de l’entreprise, ainsi qu’une amende de 2% du chiffre d’affaire global dans le cas ou le suivi des informations ne sont pas rapportés à l’autorité de contrôle et/ou aux personnes concernées.
7. Désignation d’un délégué à la protection des données
Les tâche sont bien définies (conformité, documentation, liaison avec l’autorité de contrôle, analyses d’impact des traitements sur les données, etc.). Si l’entreprise peut montrer que la quantité de données dont elle dispose concernant des citoyens européens est faible, elle peut être déchargée de cette désignation.
8. Droit à la portabilité des données
Tout individu dont les données ont été collectées peut exiger de les récupérer d’un seul bloc.
9. Qui est impacté ?
Toutes les organisations dès qu’elles manipulent des données personnelles de ressortissants européens.
10. Droits au recours
Une personne peut exercer ses droits d’accès directement auprès du responsable de traitement, de rectification à l’oubli de probabilité des données.
