Aller au contenu
DW&P Dr. Werner and Partners

RGPD : Êtes-vous prêt ? L'essentiel à connaître pour votre entreprise

Dr. jur. Jörg WernerDr. jur. Jörg WernerMis à jour Lecture : 7 min.md
Sommaire
  1. 01Les changements majeurs apportés par le RGPD
  2. 02Nouvelles obligations pour les entreprises
  3. 03Protection des données : Dès la conception et par défaut
  4. 04Une structure de consentement simplifiée
  5. 05Conservation des données
  6. 06Plus de contrôle pour les citoyens
  7. 07Conclusion

Nous évoluons aujourd'hui dans un monde piloté par les données. Dans presque tous les aspects de notre vie quotidienne, nous sommes confrontés à la collecte, au traitement et au stockage d'informations. Il n'est donc pas surprenant que l'ancienne directive sur la protection des données (Directive 95/46/CE) ne soit plus en phase avec les évolutions technologiques rapides de ces dernières années.

C'est pourquoi, dès 2012, la Commission européenne a publié des propositions législatives visant à réformer la protection des données dans l'ensemble de l'Union européenne. L'objectif affiché : rendre l'Europe « apte à l'ère du numérique ».

Au cœur de cette réforme législative se trouve l'introduction du Règlement Général sur la Protection des Données (le « RGPD »), dont les ambitions sont les suivantes :

Les changements majeurs apportés par le RGPD

Les acteurs du traitement des données

Le RGPD s'applique à deux catégories principales d'acteurs : les responsables du traitement et les sous-traitants.

  • La personne concernée (Data Subject) : Il s'agit de toute personne physique, identifiable directement ou indirectement, dont les données personnelles sont collectées, traitées et stockées (par exemple : candidats, employés, clients et utilisateurs d'un site web).
  • Le responsable du traitement (Data Controller) : Il s'agit de la personne physique ou morale qui détermine, seule ou conjointement, les finalités et les moyens du traitement des données personnelles.
  • Le sous-traitant (Data Processor) : Il s'agit d'une entité distincte (personne physique ou morale) mandatée par le responsable du traitement pour traiter des données personnelles en son nom et selon ses instructions strictes.

Une sécurité juridique accrue

L'existence d'une loi unique régissant la protection des données dans toute l'Europe permet de surmonter la fragmentation juridique qui prévalait auparavant. En effet, chaque État membre disposait de ses propres lois nationales, entraînant des divergences significatives en matière de réglementations et de sanctions d'un pays à l'autre.

Extension du champ d'application territorial

Alors que la directive 95/46/CE restait vague quant à son applicabilité hors de l'UE, le Règlement précise clairement que la localisation géographique n'est pas un facteur limitant. Le RGPD s'applique aux entreprises qui :

  • Proposent des biens ou des services au sein de l'UE ;
  • Collectent, traitent et stockent des informations appartenant à des citoyens ou résidents de l'UE, que l'activité ait lieu ou non sur le territoire européen.

Prenons un exemple concret : si un résident européen décide de passer des vacances en Chine et séjourne dans un hôtel local, cet hôtel est tout de même tenu de protéger ses données et ses droits, car il collecte des informations relatives à un citoyen de l'UE.

Des sanctions renforcées

Sous l'ancienne directive, le montant des amendes variait considérablement d'un pays à l'autre. À Malte, par exemple, en vertu de l'ancienne loi sur la protection des données (Chapitre 440 des lois de Malte), les amendes ne dépassaient pas 23 000 €.

Avec le nouveau Règlement, le Commissaire à l'Information et à la Protection des Données (IDPC) peut imposer des amendes administratives débutant à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, et pouvant grimper, selon la gravité de l'infraction, jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.

Comment est déterminée la sanction ?

Bien que le montant exact reste à la discrétion de l'autorité, les facteurs suivants sont pris en compte :

  • La nature, la gravité et la durée de la violation ;
  • Le caractère intentionnel ou la négligence ;
  • Les mesures prises pour atténuer le dommage subi par les personnes concernées ;
  • Le degré de responsabilité ;
  • Les éventuels antécédents de violations.

Nouvelles obligations pour les entreprises

  • Preuve de conformité (Accountability) : Au-delà de la mise en œuvre de mesures techniques et de sécurité appropriées, les responsables du traitement doivent documenter les actions entreprises, leur efficacité, ainsi que les processus de vérification et de mise à jour.
  • Transparence : Les responsables du traitement ont l'obligation d'informer les personnes concernées, de manière simple et précise, sur leurs droits et sur la façon dont leurs données sont collectées, utilisées et stockées.
  • Désignation d'un Délégué à la Protection des Données (DPO) : Pour faciliter la conformité, les organismes publics (et certaines entreprises selon leurs activités) sont légalement tenus de nommer un DPO. Celui-ci est chargé d'effectuer des audits réguliers, de promouvoir une culture de protection des données et de servir d'intermédiaire entre l'entreprise, les personnes concernées et l'autorité de régulation.
  • Surveillance des sous-traitants : Les responsables du traitement doivent effectuer une due diligence approfondie pour s'assurer que leurs sous-traitants offrent des garanties suffisantes (contrôles de sécurité) conformes aux exigences du RGPD.

Responsabilité juridique

Alors que sous la directive 95/46/CE, le responsable du traitement servait souvent de « bouclier » pour le sous-traitant, le nouveau Règlement permet aux personnes concernées d'agir directement contre les sous-traitants et de réclamer des dommages et intérêts pour tout préjudice matériel ou moral.

Notification des violations de données

Auparavant, cette notification n'était obligatoire que pour le secteur des communications électroniques.

DÉSORMAIS, toute organisation qui collecte, traite et/ou stocke des données est tenue de signaler toute violation de données à l'autorité de contrôle (l'IDPC à Malte) dans un délai de 72 heures, week-ends et jours fériés inclus. Le non-respect de ce délai, surtout si les personnes concernées encourent un risque élevé, expose le responsable du traitement à des sanctions bien plus lourdes.

Protection des données : Dès la conception et par défaut

Dès le départ — avant l'achat d'un nouveau système, le lancement d'un nouveau processus ou l'ouverture d'une nouvelle ligne de service — les responsables doivent garantir la protection des données (Privacy by Design).

Ils doivent s'assurer que :

  • Le principe de minimisation des données est appliqué : seules les données strictement nécessaires doivent être collectées. La collecte de données « au cas où » pour une utilisation future n'est plus acceptable.
  • La limitation de la finalité est respectée : le traitement doit se limiter à l'objectif pour lequel les données ont été initialement collectées.
  • La sécurité est assurée : via le chiffrement, l'anonymisation, des mots de passe robustes et des sauvegardes. Bien qu'aucun système ne soit infaillible à 100 %, ces mesures sont requises.
  • Des analyses d'impact (DPIA) sont réalisées : notamment lorsque le traitement présente des risques pour les droits et libertés des personnes concernées.
  • L'accès est restreint : les données ne doivent être accessibles qu'au personnel autorisé et uniquement en cas de nécessité absolue.
  • Les activités de traitement sont documentées.

Une structure de consentement simplifiée

Le consentement doit répondre aux critères suivants :

  • Donné librement ;
  • Spécifique ;
  • Issu d'un acte positif (Opt-In) ;
  • Univoque ;
  • Éclairé ;
  • Documenté.

Le droit de retirer son consentement doit être aussi SIMPLE que celui de le donner !

Conservation des données

L'obligation de ne pas conserver les données plus longtemps que nécessaire existait déjà sous la directive 95/46/CE. Cependant, le RGPD exige désormais que les responsables du traitement précisent la durée de conservation ou, à défaut, les critères utilisés pour déterminer cette durée.

EXCEPTION : Les données conservées à des fins d'archivage dans l'intérêt public, de recherche scientifique, historique ou statistique peuvent être conservées pour des durées plus longues.

Plus de contrôle pour les citoyens

Bien que la directive prévoyait déjà certains droits (information, accès, rectification, opposition, etc.), l'objectif principal du Règlement est de redonner aux citoyens le contrôle de leurs données personnelles.

Le RGPD introduit des droits supplémentaires :

  • Le droit à l'effacement (aussi appelé « droit à l'oubli ») ;
  • Le droit à la portabilité des données.

Ces droits ne sont PAS ABSOLUS. Toutefois, les entreprises doivent généralement répondre aux demandes dans un délai d'un mois.

Conclusion

En résumé, il n'existe pas d'approche unique du RGPD qui conviendrait à toutes les entreprises. Ce qui est indiscutable, c'est que chaque organisation doit prendre des mesures complètes et appropriées pour garantir la protection des données et minimiser le risque de violations.

Comme l'a souligné Andrus Ansip : « L'avenir numérique de l'Europe ne peut se construire que sur la confiance. Avec des normes communes solides pour la protection des données, les gens peuvent être assurés qu'ils gardent le contrôle sur leurs informations personnelles. »

Dr. jur. Jörg Werner

À propos de l'auteur

Dr. jur. Jörg Werner

Direction

Le Dr jur. Jörg Werner a fondé DW&P à Malte en 2013 avec l’objectif de conseiller les entrepreneurs germanophones en matière de création de sociétés et de planification fiscale sur place. Son expertise juridique approfondie et sa compréhension stratégique des besoins des clients internationaux continuent de façonner l’orientation du cabinet.

Votre situation mérite une évaluation personnelle

Lors d'un entretien gratuit de 30 minutes, nos conseillers seniors examineront vos options. Confidentiel et sans engagement.

Réserver une consultation

Lire la suite

Plus d'articles

Actualités du cabinet

Conflit avec l'Iran : Dubaï et Chypre sont-elles encore sûres pour les expatriés ?

4 Min.

Actualités du cabinet

Obtenir une licence de jeux aupres de la Malta Gaming Authority (MGA)

8 Min.

Actualités du cabinet

Immatriculation de Yacht à Malte : Tout ce qu'il faut savoir

7 Min.
Tous les articles
CSP Licensed Badge

Les services aux entreprises chez DW&P Dr. Werner & Partners sont fournis par DW&P Services Ltd. (C 103208), qui est régulée par la MFSA et titulaire de la licence ID : DSER-23577 pour exercer les activités de CSP de classe C en vertu du Company Services Providers Act (Cap. 529 des lois de Malte).

AppelerConsultation gratuite