- Une logique de responsabilisation : Avec le RGPD, on passe dans une logique de responsabilisation (accountability). La déclaration préalable à la Cnil est supprimée, remplacée par d’autres obligations reposant sur l’autocontrôle.
- Le RGPD instaure aussi un régime de coresponsabilité des sous-traitants, chacun s’engageant contractuellement à mettre en œuvre les mesures de protection adéquates et à alerter le responsable du traitement en cas de fuite de données.
- La nomination d’un délégué à la protection des données.
- Le consentement renforcé : le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées ; ils doivent être informés de l’usage de leurs données et doivent donner leur accord pour le traitement des données, ou pouvoir s’y opposer.
- Le « privacy by design » : De façon proactive, le responsable du traitement intègre la protection de la vie privée dès la conception d’un service ou d’un produit et, ce, tout au long du cycle de vie des données, de leur collecte à leur suppression.
- Le « privacy by default » : Les mesures de sécurisation sont intégrées nativement dans le service ou l’application. Le responsable du traitement assure de plus par défaut le plus haut niveau de confidentialité.
- Des sanctions pénales et financières graduées et particulièrement dissuasives : jusqu’à 4 % du chiffre d’affaires mondial. Comme pour la protection des consommateurs, des associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données seront susceptibles d’introduire des recours collectifs.
Après un état des lieux, chaque organisation est tenue de mettre un plan d’actions :
- Travaux informatiques à engager pour la sécurisation des données les plus critiques de type anonymisation ou chiffrement.
- Revoir les modalités d’exercice des droits des individus concernés, du recueil consentement au droit à l’oubli.
- Définir La finalité de chaque traitement et la durée de la conservation des données doit être établie.
- Annexer aux contrats des sous-traitants une clause précisant leurs nouvelles obligations et responsabilités. S’ils gèrent des données de citoyens européens, les prestataires basés hors de l’Union Européenne sont alors également concernés.