Le RGPD (Règlement Général sur la Protection des Données) vise à renforcer le droit des personnes physiques lorsque des entreprises collectent leurs données personnelles.
Chaque entreprise est responsable des données traitées dans son système et doit effectuer un travail d’auto-évaluation pour renforcer la sécurité des données à caractère personnel dans un but de protection de la vie privée et de certains droits fondamentaux.
Ce règlement vient également renforcer les obligations en matière de cyber sécurité, et devrait permettre aux entreprises de mieux se prémunir contre les cyber attaques.
Les données à caractère personnel sont celles qui permettent d’identifier une personne directement ou indirectement (nom, prénom n° Sécurité Sociale, adresse, téléphone, mail…).
Le traitement de ces données représente toute opération se rapportant à l’exploitation de fichiers (collecte, enregistrement, conservation, interconnexion, consultation, communication, effacement et destruction…).
Dans le cadre de la future Loi Informatique et Liberté 3, la CNIL aurait en charge le contrôle de l’application du RGPD.
Des sanctions financières lourdement renforcées :
- Amende jusqu’à 10 M€ ou 2% CA annuel mondial pour défaut de mise en place d’outils adaptés à la protection des données, notamment Privacy By design, Privacy By Default;
- Amende jusqu’à 20 M€ ou 4% CA annuel mondial pour un manquement aux droits des personnes concernées par les données.
Dans les 2 cas, le montant le plus élevé est retenu.
Des sanctions pénales en cas de manquement aux règles en matière de protection des données sont déjà prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal.
https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire