Protection des données

Des règles plus adaptées pour les petites entreprises

Le renforcement des règles relatives à la protection des données à compter du 25 mai 2018 se traduira par un renforcement du contrôle par les citoyens de leurs données ainsi que par l’accroissement des avantages que pourront tirer les entreprises de conditions de concurrence équitables. Un seul ensemble de règles pour toutes les entreprises exerçant des activités dans l’UE, indépendamment du lieu où elles sont établies.
Découvrez quelles sont les incidences pour votre PME.

À quoi correspondent les données à caractère personnel?

  • Nom
  • Adresse
  • Localisation
  • Identifiant en ligne
  • Informations sur la santé
  • Revenus
  • Profil culturel
  • etc.
Vous collectez,
stockez,
utilisez
des données?
Vous devez respecter les règles.

Vous traitez des données pour le compte d’autres entreprises?
Vous êtes aussi concerné.

Pourquoi modifier les règles?

C’est une question de confiance...

Le manque de confiance à l’égard des anciennes règles sur la protection des données représentait un obstacle pour l’économie numérique et très probablement pour votre entreprise.

Seulement15 %

des citoyens ont l’impression de contrôler totalement les informations qu’ils fournissent en ligne.

Pour aider votre entreprise à se développer...

Un seul ensemble de règles pour toutes les entreprises qui traitent des données dans l’UE

Des conditions plus simples et plus équitables pour exercer son activité

Ce nouveau système limite les coûts et aidera les entreprises à se développer

130 millions d’EUR

coût pour informer les 28 différentes autorités chargées de la protection des données en cas d’activité commerciale dans l’UE au titre de l’ancien système.

2,3 milliards d’EUR

estimation des avantages économiques résultant de l’application d’une seule loi.

L’adoption de nouvelles règles devrait renforcer la confiance des consommateurs et stimuler l’activité commerciale.

Obligations pour votre entreprise

Protéger les droits des personnes qui vous communiquent leurs données

Communication

Employez des termes simples.
Informez-leur de votre identité lorsque vous traitez leurs données.
Expliquez-leur pourquoi vous traitez leurs données et indiquez combien de temps elles seront stockées et qui en sera le destinataire.

Consentement

Obtenez un consentement clair des personnes concernées pour traiter leurs données.
Vous recueillez des données liées à des enfants pour les médias sociaux? Vérifiez la limite d’âge pour obtenir l’accord parental.

Accès et portabilité

Donnez aux personnes concernées les moyens d’accéder à leurs données et de les transmettre à d’autres entreprises.

Avertissements

Informez les personnes concernées des violations de données en cas de risque majeur.

Suppression des données

Octroyez aux personnes concernées le «droit à l’oubli». Supprimez leurs données à caractère personnel si elles en font la demande, mais uniquement si cela ne compromet pas la liberté d’expression ni la possibilité de faire des recherches.

Profilage

Si vous utilisez le profilage pour traiter les demandes d’accords juridiquement contraignants tels que des prêts, vous devez:

  • informer vos clients;
  • vous assurer qu’une personne et non une machine vérifie le processus si la demande se solde par un refus;
  • offrir au demandeur le droit de contester la décision.
Marketing

Octroyez aux personnes concernées le droit de s’opposer au traitement de leurs données par du marketing direct.

Protection des données sensibles

Mettez en place des garanties supplémentaires pour la protection des informations relatives à la santé, à la race, à l’orientation sexuelle, à la religion et aux opinions politiques.

Transfert de données à l’extérieur de l’UE

Prenez des dispositions juridiques lorsque vous transférez des données vers des pays qui ne sont pas approuvés par les autorités de l’UE.

Protégez les données dès la conception

Intégrez des mesures de protection des données dès les premières étapes de développement de vos produits et services.

Vous traitez des données pour le compte d’une autre entreprise?

Veillez à établir un contrat énumérant strictement les responsabilités de chaque partie.

Vérifiez si vous avez besoin d’un délégué à la protection des données

Ce n’est pas toujours obligatoire. Cela dépend du type et de la quantité de données que vous collectez, si le traitement des données est votre principale activité et si vous effectuez ces opérations à grande échelle.

  • Vous traitez des données à caractère personnel pour diffuser des publicités ciblées sur les moteurs de recherche en fonction du comportement en ligne des personnes concernées. Oui
  • Vous envoyez à vos clients une publicité une fois par an pour promouvoir votre entreprise locale de denrées alimentaires. Non
  • Vous êtes un médecin généraliste et vous collectez des données sur la santé de vos patients. Non
  • Vous traitez des données à caractère personnel portant sur la génétique et la santé pour le compte d’un établissement hospitalier. Oui

Tenez des registres

Les PME doivent uniquement tenir des registres si le traitement de données

  • est régulier
  • représente une menace pour les droits et les libertés des citoyens
  • porte sur des données sensibles ou des casiers judiciaires

Il convient d’inclure les éléments suivants dans les registres:

  • le nom et les coordonnées de l’entreprise
  • les raisons du traitement des données
  • la description des catégories de personnes concernées et des données à caractère personnel
  • les catégories d’organisations recevant les données
  • le transfert des données vers un autre pays ou à destination d’une autre organisation
  • les délais de suppression des données, si possible
  • la description des mesures de sécurité utilisées pour le traitement, si possible

Anticipez les analyses d’impact

Les analyses d’impact peuvent être obligatoires pour les traitements à HAUT RISQUE.

  • Nouvelles technologies

  • Traitement automatique et systématique et évaluation des données à caractère personnel

  • Surveillance à grande échelle d’une zone accessible au public (par exemple avec une télévision en circuit fermé)

  • Traitement à grande échelle de données sensibles telles que les données biométriques

Coûts liés à la violation des règles

Votre autorité locale chargée de la protection des données vérifie que vous respectez les règles; les travaux de ces autorités sont coordonnés à l’échelle de l’UE.

Les coûts liés à la violation des règles peuvent être élevés.

Avertissement

Rappel à l’ordre

Suspension du traitement des données

Amende

Jusqu’à
20
millions d’EUR

ou

4 %
du chiffre d’affaires annuel mondial

Ce document ne peut être considéré comme constituant une prise de position officielle de la Commission européenne et ne remplace pas la législation.