- Le consentement

  • Le RGPD renforce la notion de consentement. A partir du 25 mai 2018, le consentement des individus quant à la collecte et au traitement des données à caractère personnel les concernant devra être explicite et « positif ». Ce consentement pourra être retiré à tout moment par les individus le demandant. Les entreprises faisant du traitement de données devront, par ailleurs, être en mesure de prouver le recueil de ce consentement le cas échéant (en cas de contrôle de la CNIL).

- La transparence

  • La transparence est le deuxième grand principe mis en avant par la RGPD. Il s’articule au consentement, dans la mesure où la transparence est la condition de possibilité d’un consentement explicite et éclairé.
  • Les entreprises devront – et ce dès la phase de collecte – fournir aux individus des informations claires et sans ambiguïté sur la manière dont leurs données seront traitées. Ces informations devront être fournies de façon concise, compréhensive et accessible par tous (par exemple, sur les formulaires de collecte, dans les documents contractuels, sur la page du site relative à la politique de « privacy », etc.).

- Le droit des personnes

Un des principaux objectifs du GDPR est de renforcer les droits des personnes physiques. Les résidents européens se voient attribuer de nouveaux droits :

  • Un droit d’accès facilité pour tous les utilisateurs. Le responsable du traitement devra faciliter l’exercice de ce droit, par la mise en place de process et d’outils adaptés. Si la collecte s’opère sur le site internet par exemple, une solution électronique devra être prévue, si possible avec un accès à distance sécurisé. En cas de demande d’accès de la part d’un utilisateur, l’entreprise disposera d’un délai d’un mois maximum pour la satisfaire.
  • Un droit l’oubli pour tous les utilisateurs. L’apport majeur de la réglementation réside dans l’extension de conditions d’exercice de ce droit. Les entreprises disposeront d’un délai réduit d’un mois, et non plus de deux mois, pour supprimer les données à la suite d’une demande. Toutes les copies et toutes les reproduction des données devront aussi être effacées.
  • Un droit à la limitation du traitement, applicable dans quelques cas précis.
  • Un droit à la portabilité des données. Il s’agit d’un nouveau droit qui permet à une personne de récupérer les données qu’elle a fournies, sous une forme aisément réutilisable et, le cas échéant, de les transférer à un tiers (en cas de changement de fournisseur de services par exemple).

Il revient aux entreprises de garantir le droit des personnes par la mise en place de mesures, d’outils et de process appropriés. Ce qui nous amène au quatrième principe du GDPR : la responsabilité.

- La responsabilité

Le GDPR vise à responsabiliser davantage les entreprises dans leur traitement des données à caractère personnel.