I - Les règles essentielles
Dans le cadre du RGPD, les données personnelles doivent être :
- Légitimes et nécessaires aux finalités pour lesquelles elles sont traitées.
- Précisément et soigneusement collectés.
- Traitées de manière transparente, cohérente et équitable.
- Protégé contre l’accès, l’utilisation ou la divulgation non autorisés.
- Effacées ou détruites là où il n’est plus nécessaire et soumis à un contrôle régulier.
Le RGPD exige également que les entreprises obtiennent le consentement des individus avant de collecter, d’utiliser ou de partager leurs données personnelles. Les entreprises doivent également fournir aux individus des informations claires et concises sur leurs droits en vertu du RGPD et veiller à ce que les individus puissent facilement exercer leurs droits.
A noter que le RGPD affecte toute entreprise qui traite les données personnelles des individus dans l’Union européenne. Cela inclut les entreprises basées en dehors de l’Union européenne qui offrent des biens ou des services ou traitent les données de particuliers dans l’UE.
II. - Les droits des personnes
Le RGPD donne également aux particuliers le droit de déposer une plainte auprès de l’autorité de contrôle s’ils estiment que leurs droits ont été violés. L’application du RGPD et le prononcé d’amendes est mis en oeuvre par les autorités nationales de contrôles, en France la CNIL.
Les individus ont des droits étendus sur leurs données personnelles, tels que :
- Le droit d’être informé du traitement de ses données personnelles ;
- Le droit d’accès à leurs données personnelles ;
- Le droit de rectification de ses données personnelles ;
- Le droit à l’effacement de leurs données personnelles ;
- Le droit de limiter le traitement de leurs données personnelles ;
- Le droit à la portabilité des données ;
- Le droit de s’opposer au traitement de ses données personnelles ; et
- Le droit de ne pas être soumis à une prise de décision automatisée.
En outre, le RGPD impose certaines obligations aux responsables du traitement en ce qui concerne le traitement des données à caractère personnel, notamment l’obligation de garantir que les données à caractère personnel sont traitées de manière loyale, transparente et licite, et l’obligation de fournir aux personnes des informations sur leurs droits. dans le cadre du RGPD.
III. - Les sanctions
Le RGPD impose des amendes importantes aux entreprises qui enfreignent ses dispositions, y compris jusqu’à 4 % du chiffre d’affaires annuel global d’une entreprise ou 20 millions d’euros (selon le montant le plus élevé), selon le montant le plus élevé.
Depuis l’entrée en vigueur du RGPD, il y a eu un certain nombre de cas très médiatisés dans lesquels des entreprises ont été condamnées à des amendes pour avoir enfreint le règlement.
- En janvier 2019, Google a été condamné à une amende de 50 millions d’euros par la CNIL pour violation du RGPD. Il a été constaté que Google collectait et utilisait les données personnelles d’individus sans leur consentement.
- En juillet 2019, British Airways a été condamnée à une amende de 184 millions d’euros par l’autorité britannique de protection des données, l’ICO, pour avoir enfreint le RGPD. Il a été constaté que British Airways n’avait pas réussi à protéger les données personnelles de 500 000 clients, qui ont ensuite été volées par des pirates.
- En septembre 2019, Marriott International a été condamné à une amende de 110 millions d’euros par l’ICO pour avoir enfreint le RGPD. Il a été constaté que Marriott n’avait pas protégé les données personnelles de 339 millions de clients, qui ont ensuite été volées par des pirates.
Ce ne sont là que quelques-uns des nombreux cas où des entreprises ont été condamnées à des amendes pour avoir enfreint le RGPD. Il est clair que les régulateurs sont prêts à imposer de lourdes amendes aux entreprises qui enfreignent le règlement.
Les entreprises doivent donc prendre le RGPD au sérieux et s’assurer qu’elles sont en conformité avec la réglementation. Sinon, elles s’exposent à de lourdes amendes.