Depuis l'entrée en vigueur en 2018 du Règlement Général sur la Protection des Données (ci-après « RGPD »), la confidentialité et la protection des données personnelles constituent une nouvelle couche de performance corporative et commerciale pour les entreprises. En ce sens, la vie privée et la protection des données ont un sens large. La confidentialité fait référence à la capacité de l'entreprise à traiter les informations personnelles des clients et des clients conformément à leurs instructions tout en leur fournissant des "mesures techniques et organisationnelles" de sécurité par rapport à ces informations.

Le RGPD établit un ensemble de droits, de principes et de règles que les entreprises - lors du traitement de données personnelles - doivent respecter. L'éventail et l'ampleur des nouvelles dispositions relatives à la confidentialité suggèrent que toute entreprise impliquée dans le traitement d'informations personnelles doit nommer un professionnel de la confidentialité comme guide pour les questions liées à la confidentialité. Il est important de souligner que la confidentialité et la protection des données font désormais partie intégrante de toute entreprise. De plus, la réputation de votre entreprise peut dépendre des pratiques de confidentialité et de protection des données adoptées dans le cadre de votre entreprise. Dans ces circonstances, il est primordial de mettre en évidence les principaux domaines de conformité que les entreprises doivent prendre en considération.

QUAND LE RGPD S'APPLIQUE-T-IL ?

Tout d'abord, est crucial de savoir sì le RGPD s'applique ou non à votre entreprise. En ce sens, le champ d'application territorial du RGPD suggère que presque toutes les entreprises sont concernées par le règlement. Plus précisément, le RGPD s'applique au traitement des données personnelles par des organisations basées dans l'UE, même si les données sont stockées en dehors de l'UE. Cependant, le RGPD va encore plus loin et s'applique également aux organisations en dehors de l'UE si les conditions suivantes sont remplies : l'organisation est impliquée dans l'offre de biens ou de services aux personnes dans l'UE, ou lorsque l'organisation surveille leur comportement en ligne.

Il y a aussi deux exceptions. Premièrement, le RGPD ne s'applique pas au traitement qui a lieu dans le cadre d'une "activité domestique purement personnelle". Cela signifie que le RGPD s'applique aux organisations impliquées dans des activités commerciales. Deuxièmement, le RGPD ne s'applique pas aux organisations de moins de 250 employés.

DÉFINITIONS CLÉS DU RGPD

Les entreprises doivent commencer à comprendre quel est leur rôle par rapport au traitement des données. Plus précisément, votre entreprise est-elle un contrôleur de données ou un sous-traitant ? Ceci est crucial car les principes de responsabilité sont généralement plus stricts avec le contrôleur plutôt qu'avec le sous-traitant. D'une manière générale, le responsable du traitement est le sujet qui décide des moyens et des finalités du traitement des données. Au contraire, le processeur de données est le sujet qui traite les données personnelles sous les instructions du contrôleur de données. Par ailleurs, dans le cadre du RGPD, les données personnelles désignent toute information relative à une personne identifiée ou identifiable. Enfin, le traitement désigne toute opération effectuée sur des données personnelles telles que la collecte, le stockage, la structuration, la consultation, la diffusion, etc.

QUAND TRAITEZ-VOUS LES DONNEES PERSONNELLES ?

D'une manière générale, pour que le traitement soit licite, les données à caractère personnel doivent être traitées sur la base du consentement de la personne concernée ou d'une autre base légitime. En d'autres termes, le consentement ne constitue qu'une des bases juridiques possibles du traitement des données. Les autres bases juridiques sont:

• pour satisfaire à un contrat auquel la personne concernée est partie;
• se conformer à une obligation légale;
• sauver la vie de quelqu'un;
• pour accomplir une tâche d'intérêt public ou pour exercer une fonction officielle ;
• Vous avez un intérêt légitime à traiter les données personnelles de quelqu'un.

Il est pertinent de dire que votre base juridique pour le traitement des données doit inclure le consentement et une ou plusieurs autres bases juridiques. En ce sens, l'intérêt légitime est l'instrument le plus flexible pour le traitement des données. Cependant, les entreprises doivent tenir compte du fait que les droits fondamentaux et la liberté de la personne concernée prévalent sur l'intérêt légitime du responsable du traitement.

COMMENT DEVRIEZ-VOUS TRAITER LES DONNÉES PERSONNELLES?

Le RGPD établit également la manière dont votre entreprise traitera les données personnelles. Cela se fait par le biais de six principes que les entreprises doivent inclure dans leurs pratiques en matière de confidentialité. En ce sens, les données personnelles seront:

• Traitées de manière licite, loyale et transparente;
• collectées pour des finalités déterminées,
• explicites et légitimes et non traitées ultérieurement d'une manière incompatible avec ces finalités ;
• Adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité pour laquelle elles sont traitées; Précis et à jour;
• Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire;
• Traitées de manière à garantir une sécurité adéquate.

Les professionnels du droit sont conscients que ce ne sont pas que de vagues principes. Au contraire, ils constituent un élément fondamental de bonnes pratiques de protection des données tout en constituant la base de la conformité de votre entreprise.

DROITS DES PERSONNES CONCERNÉES

Lors du traitement des données personnelles, les personnes concernées peuvent décider d'exercer l'un des droits établis par le RGPD. Il est crucial pour votre entreprise qu'un professionnel qualifié évalue la demande de droits des personnes concernées. Il s'agit en fait d'un niveau supplémentaire à partir duquel la responsabilité du responsable du traitement est évaluée. Les droits des personnes concernées sont :

• Droit d'accès : Les personnes peuvent demander l'accès à leurs données personnelles ;
• Droit d'être informé : Les personnes doivent être informées avant de collecter et de traiter leurs informations personnelles ;
• Droit à la portabilité des données : Les individus ont le droit de transférer leurs informations personnelles d'un service à un autre à tout moment ;
• Droit à l'oubli : les personnes ont le droit de faire supprimer leurs données ;
• Droit d'opposition : les personnes ont le droit de s'opposer à toute utilisation ou traitement des données
• Droit de restriction : les personnes ont le droit de demander l'interruption du traitement des informations personnelles ou d'arrêter un certain type de traitement ;
• Droit d'être notifié : les personnes ont le droit d'être notifiées en cas de violation de données ;
• Droit de rectification : Les personnes ont le droit de demander la mise à jour ou la correction des données personnelles.

Si vous pensez que le RGPD s'applique à vous, c'est une bonne idée de commencer à chercher des professionnels du droit ayant une expertise en matière de confidentialité et de conformité au RGPD.

Cela pourrait aider votre entreprise à adopter la confidentialité et la protection des données dans le cadre de ses pratiques tout en établissant une solide réputation.

Salvo Fasciana

Professeur à l'Université de Newcastle

Giambrone & Partners est un Cabinet d'Avocats International avec des bureaux à Lyon, Milan, Rome, Barcelone, Palerme et Sassari, Londres et  Tunis. Pour plus d'informations, n'hésitez pas à compléter notre formulaire ici ou écrivez-nous à l'adresse info@giambronelaw.com ou contactez-nous au French Desk de notre cabinet au numéro suivant: +39 079 9220012