Protection des données et conformité à la protection des données conformément au RGPD / GDPR
Exigences strictes en matière de consentement
L'article 7 du RGPD contient des exigences plus strictes que la BDSG en ce qui concerne le caractère volontaire du consentement. Comme jusqu'à présent, le consentement doit être donné librement. Toutefois, conformément à l'article 7, paragraphe 4, du RGPD, il convient désormais, pour évaluer le caractère volontaire, de déterminer si l'exécution d'un contrat dépend du consentement et si le consentement porte sur des opérations de traitement qui ne sont pas nécessaires à l'exécution du contrat. L'article 7, paragraphe 4, du RGPD formule cela comme suit :
"Pour déterminer si le consentement a été donné librement, il convient de tenir compte, dans toute la mesure du possible, du fait que l'exécution d'un contrat, y compris la fourniture d'un service, dépend, entre autres, du consentement à un traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution du contrat".
Par conséquent, si un consentement doit obligatoirement être donné lors de la conclusion d'un contrat et que ce consentement ne se rapporte pas directement à l'exécution du contrat, cela plaide clairement, selon les nouvelles dispositions, contre le caractère volontaire du consentement, avec pour conséquence que le consentement n'est pas valable. On peut déjà supposer cela lorsque, dans le cadre d'une commande dans une boutique en ligne, un consentement est obligatoirement demandé pour recevoir une newsletter. De même, un numéro de téléphone à indiquer obligatoirement dans le cadre de l'enregistrement sur un portail en ligne doit ainsi être considéré comme critique en règle générale, à moins qu'une particularité ne résulte de la nature du portail en ligne.
Responsabilité également du sous-traitant
Le traitement des données de commande (ADV), connu jusqu'à présent en vertu de l'article 11 de la BDSG, est régi par l'article 28 du RGPD. Le nom a légèrement changé. Au lieu de traitement des données de commande, l'institution juridique s'appelle désormais simplement traitement de la commande.
Un changement aux conséquences importantes est la nouvelle réglementation de la responsabilité. Contrairement à la BDSG, le RGPD impose également au sous-traitant de veiller au respect de nombreuses dispositions relatives à la régularité du traitement des données. Conformément à l'article 83, paragraphe 4, point a), du RGPD, les violations de certaines de ces dispositions par le sous-traitant sont en outre passibles d'amendes.
Notification de violation de données
Une obligation de notification n'a été introduite que tardivement dans la BDSG avec l'article 42a BDSG. Dans l'art. 33 f. Le RGPD prévoit désormais des obligations de notification nettement plus strictes. En effet, selon l'article 33 du RGPD, les violations de la protection des données à caractère personnel doivent être notifiées à l'autorité de contrôle sans délai et "si possible dans les 72 heures" suivant la prise de connaissance. Tout dépassement du délai de 72 heures doit être justifié. Conformément à l'article 34 du RGPD, la personne concernée doit en outre être informée si la violation de données à caractère personnel "est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques".
Évaluation d'impact sur la protection des données
L'institution de l'analyse d'impact relative à la protection des données conformément à l'article 35 du RGPD est également nouvelle. Selon cette disposition, lorsqu'un traitement de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, une évaluation préalable des conséquences doit être effectuée. De tels risques sont notamment présumés lors de l'utilisation de nouvelles technologies, si celles-ci présentent un risque pour la protection des données à caractère personnel en raison de leur nature, de leur portée, des circonstances ou de leur finalité. Les autorités de contrôle peuvent établir des listes complémentaires indiquant les opérations de traitement pour lesquelles des analyses d'impact relatives à la protection des données sont requises et celles pour lesquelles elles ne le sont pas.
Une analyse d'impact relative à la protection des données doit au moins contenir les éléments suivants :
une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, des intérêts légitimes poursuivis par le responsable du traitement ;
une évaluation de la nécessité et de la proportionnalité des opérations de traitement par rapport à la finalité ;
une évaluation des risques pour les droits et libertés des personnes concernées ; et
les mesures correctives envisagées pour faire face aux risques, y compris les garanties, les mesures de sécurité et les procédures permettant d'assurer la protection des données à caractère personnel et de démontrer que le RGPD est respecté, en tenant compte des droits et des intérêts légitimes des personnes concernées et des autres parties intéressées.
Privacy-by-Design et privacy-by-Default
Avec l'article 25 du RGPD, le RGPD contient désormais une réglementation sur la conception de la technique. Selon cette disposition, la technique doit être conçue de telle sorte que les principes de protection des données, comme par exemple la minimisation des données, soient déjà respectés techniquement (Privacy-by-Design) et que des paramètres par défaut favorables à la protection des données (Privacy-by-Default) soient également mis en place. Ainsi, les exigences du RGPD doivent être respectées dès le stade du développement du matériel et des logiciels.
Droit à la portabilité des données ("data portability")
Une autre nouveauté est la disposition de l'article 20 du RGPD selon laquelle une personne concernée a le droit de demander à recevoir les données à caractère personnel la concernant dans un format structuré, couramment utilisé et lisible par machine. L'objectif de cette réglementation est d'éviter les "effets de verrouillage" par rapport à un fournisseur donné. Les personnes concernées doivent ainsi avoir la possibilité de "transférer" leurs données à caractère personnel vers un autre fournisseur.
Règlement sur la vie privée en ligne
Certaines règles pertinentes pour le domaine des communications électroniques (donc en particulier pour le domaine de l'Internet) seront régies par un règlement E-Privacy (actuellement encore à l'état de projet). Cela concerne par exemple la collecte de données à partir des smartphones et le traitement des cookies.
Conclusion
Le RGPD apporte de nombreux changements, dont certains peuvent impliquer une réévaluation fondamentale de l'organisation actuelle des opérations de traitement dans les entreprises. Même la manière dont les consentements sont donnés peut devoir être examinée sous l'angle du caractère volontaire. Ne serait-ce qu'en raison du cadre d'amende considérable et également de la nouvelle obligation de notification aux personnes concernées, qui peuvent porter atteinte à l'image de marque d'une entreprise, les processus de traitement au sein de l'entreprise devraient être examinés de près et conçus à l'aide du RGPD à la date de référence de son entrée en vigueur (25.05.2018).