Who is it for?

Le Règlement Général sur la Protection des Données de lUnion Européenne remplacera lactuelle Directive 95/46/EC depuis 2018. Par rapport à lactuelle Directive,    GDPR sera loi et devra être adopté par tous les Etats membres de lUE.

Ceux familiers avec la Directive remarqueront facilement que GDPR est construit sur la directive – certains aspects restent les mêmes, dautres changent et nouvelles règles y sont ajoutées. Par exemple, GDPR met plus daccent sur les droits individuels, en apportant en même temps des amendes plus grandes pour le non-respect du Règlement. Son but est de réconcilier les lois spécifiques à un pays qui se trouvent souvent en conflit. Plus important est que lon veut changer la manière dont les organisations qui opèrent sur le territoire de lUE ou qui collectent les données personnelles des citoyens de lUnion, approchent la confidentialité des données. 

Lun des principaux objectifs du Règlement est de permettre aux citoyens un contrôle plus grand sur les données personnelles. 

Comme règlement, GDPR doit être appliqué comme tel dans les pays membres de lUE, à la différence de la Directive, qui a été adaptée par chaque pays dans la loi nationale.

À QUI SAPPLIQUE-T-IL?

Lune des principales caractéristiques du Règlement est quil aura un impact sur chaque entité qui utilise les données personnelles des citoyens européens, soit quelle opère sur le territoire de lUE ou non. Bref, nimporte où tu te trouves dans le monde, si tu vends des biens aux citoyens de lUE ou tu traites leurs données personnelles, tu dois te conformer à GDPR. Cela signifie que le Règlement affectera bien plus dorganisations que la Directive. Cest un aspect positif pour les citoyens européens qui sont maintenant plus protégés et cest moins positif pour les organisations en dehors de lUnion Européenne qui devront se conformer à un nouveau set de règles. On répond ainsi à la question que beaucoup de citoyens de la Grande Bretagne se posent: « Comment affectera le Brexit eux et leurs affaires?” Bref, la réponse est quil dépend des personnes avec lesquelles il travaille. Cest peu probable, au moins au début, que les organisations de la Grande Bretagne coupent complètement les liaisons avec les personnes de lUE. Par conséquent, les organisations devraient se conformer au GDPR, pour sassurer quelles éviteront les amendes.   

OPÉRATEURS DE DONNÉES ET LA PERSONNE AUTORISÉE PAR L‘OPÉRATEUR 

Dautres changements que les organisations devraient envisager sont ceux liés aux opérateurs, respectivement les personnes autorisées par ceux-ci. Lopérateur est lentité qui détermine le but, les conditions et les méthodes de traitement des données; la personne autorisée par lopérateur est une entité qui traite les données personnelles au nom du contrôleur. Sous la Directive, seulement les opérateurs étaient considérés comme responsables pour la protection des données, et non les personnes autorisées par ceux-ci. Maintenant les personnes autorisées par les opérateurs auront lobligation de se conformer aux exigences pour la protection des données. Autant lopérateur et la personne autorisée peuvent être des individuels, personnes morales, une autorité publique, une agence ou un autre organisme. 

En tant que personne autorisée par lopérateur vous aurez une série dobligations en conformité avec GDPR, dont beaucoup delles sinterpénètrent avec celles de lopérateur.  Pour le début, toutes les opérations de traitement des données doivent satisfaire certaines exigences du Règlement. Quelques exemples seraient quun opérateur peut nommer seulement des personnes autorisées qui garantissent quelles vont implémenter des mesures techniques et organisationnelles suffisantes pour se conformer aux règles de protection des données. Egalement, il faut exister un contrat entre operateur et la personne autorisée. Les deux doivent implémenter des mesures adéquates de sécurité. Ce que signifie exactement ”adéquate” sera décidé en chaque cas, en prenant en considération les données traitées, les risques dune brèche de sécurité, le coût dimplémentation et la nature du traitement des données.