Déterminer le responsable de traitement au titre du RGPD est une étape essentielle car elle permet de déterminer qui va porter la responsabilité juridique - c’est-à-dire payer les amendes - en cas de non-conformité.

Le DPO - Data Privacy Officer - ou le “Délégué à la Protection des Données” (DPD) en Français, est la personne en charge d’assurer la protection des données personnelles au regard du RGPD. Sa mission est définie précisément par les articles 37 et suivants du RGPD (II) et celui-ci doit être nommé obligatoirement dans un certain nombre de cas (I). Le DPO peut être interne à l’organisation ou externe, mais dans tous les cas il doit disposer des compétences et des moyens pour poivoir mener à bien ses missions.

Les sanctions ont été un point essentiel dans la réforme du RGPD : en cas de non respect, les entreprises risquent aujourd’hui des sanctions qui vont de 20 millions d’euros pour les PME et jusqu’à 4% du chiffre d’affaires global du groupe pour les grandes entreprises (plusieurs milliards d’euros en pratique).

La grande nouveauté du RGPD a été la mise en place de sanctions réellement dissuasives (4% du chiffre d’affaires global pour les grandes entreprises ou 20 millions pour les TPE/PME). De la sorte, le législateur a donné les moyens aux CNILs européennes de faire plier les organisations qui ne respecteraient pas le RGPD. On peut dire que l’objectif est atteint, car il y a aujourd’hui environ une sanction par jour pour violation du RGPD en Europe. Des sanctions dissuasives sont régulièrement prononcées (35 millions d’euros, 203 millions, 110 millions, 100 millions pour Google très récemment…). Quelques chiffres au passage, sur les trois derniers mois : 99 sanctions, 110 millions d’euros d’amende, 40% d’amendes en plus par rapport à l’année dernière.

La question de savoir comment recueillir valablement un consentement au titre du RGPD suscite beaucoup de discussions, alors pourtant qu’elle est souvent simple à traiter. Nous allons donc voir dans ce guide pratique comment recueillir un consentement qui soit valable au titre du RGPD et comment respecter toutes les conditions imposées par la loi.

Le RGPD a introduit de nouveaux concepts intéressants afin d’assurer la protection des données personnelles, dont un qui est la notion de “privacy by design”. En fait pour être totalement exact, il faut distinguer deux choses derrière cette notion : l’idée de “privacy by design” et l’idée de “privacy by default”. Ces concepts nous viennent de la Commissaire de l’agence canadienne de protection des données personnelles (Dr. Anne Cavoukian) qui a développé une série de principes en 2010 tendant à prendre en compte la vie privée dès la conception des systèmes de traitement. Le RGPD a repris cette idée, mais sous un angle assez spécifique. On verra donc ces notions en détail (I) avant de voir la place que leur réserve le RGPD et les obligations légales qui sont en vigueur (II).

Le droit d’opposition imposé par le RGPD est souvent mal compris. Déterminé par l’article 21, il confère aux personnes dont les données sont traitées la possibilité de s’opposer à leur traitement, mais dans certaines situations spécifiques uniquement. En cela, le droit d’opposition se cumule avec d’autres droits existants qui permettent à une personne de faire arrêter le traitement de ses données (I), comme le droit de retirer son consentement. Une personne peut ainsi “s’opposer” au traitement, sans faire valoir le droit conféré par l’article 21, ce que l’on verra en détail. Pour comprendre le droit d’opposition, il faut également comprendre ses limites, car il existe un certain nombre de cas dans lesquels le droit d’opposition n’est pas valable. Dans ces cas, la personne concernée ne pourra rien faire pour arrêter le traitement de ses données personnelles (II). Ces considérations imposent en réalité d’observer autre disposition centrale du RGPD : l’article 6 et les mécanismes qui permettent à une personne de faire cesser le traitement de ses données (III). Une fois ces éléments analysés, on verra comment suivre et gérer une demande d’opposition en pratique (IV)

Le RGPD, autrement dit, “le règlement européen en matière de protection des données personnelles” est la nouvelle règlementation européenne qui a pour objectif d’assurer la protection des données des personnes sur informatique (loi informatique et libertés)

La gestion des violations de données personnelles fait partie des nouvelles obligations imposées par le RGPD qu’il est important de prendre en compte. En effet, la nouvelle règlementation impose depuis 2018, une série d’obligations particulières dans les cas ou des données à caractère personnel auraient été compromises (“violées”).