Une sécurité juridique accrue : une réponse unique sur l’ensemble du territoire de l’UE
Les entreprises seront en contact avec un « guichet unique », à savoir l’autorité de protection des données de l’État membre où se trouve leur « établissement principal ».
Dès lors qu’un traitement concernera plusieurs États de l’UE, l’autorité compétente coopérera avec les autres autorités concernées afin d’adopter une décision conjointe sur la conformité d’un traitement ou sur un manquement au règlement.
De nouveaux droits
- Le droit à la portabilité : ce droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et le cas échéant, de les transférer ensuite à un tiers.
- Les actions collectives : les associations actives dans le domaine de la protection des données personnelles auront la possibilité d’introduire des recours collectifs.
- Un droit à réparation : toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement a le droit d’obtenir réparation du préjudice subi.
La certification
Le règlement encourage la mise en place de mécanismes de certification, de labels et de marques en matière de protection des données.
Ces dispositifs permettraient aux entreprises certifiées de démontrer qu’elles respectent la législation sur la protection des données.
La réalisation d’une étude d’impact sur la vie privée
Pour tous les traitements de données sensibles qui révèlent notamment l’origine raciale, les opinions politiques ou religieuses, l’appartenance syndicale, les données de santé, les données génétiques ou biométriques, les données de profilage, l’entreprise devra conduire une étude d’impact sur la vie privée (EIVP) faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.
Si l’entreprise ne parvient pas à réduire les risques liés au traitement par des mesures appropriées, elle devra consulter l’autorité de protection des données avant de mettre en œuvre ce traitement.
La désignation d’un délégué à la protection des données
Les entreprises traitant à grande échelle les données sensibles devront obligatoirement désigner un délégué à la protection des données qui sera chargé de vérifier la conformité du traitement.
Des obligations étendues aux sous-traitants
Le règlement étend aux sous-traitants une large partie des obligations imposées aux responsables de traitement.
Ces nouvelles obligations constituent par conséquent une évolution importante pour de nombreux acteurs économiques, dont les éditeurs de sites internet, de réseaux sociaux, etc…
Il faudra donc être particulièrement attentif à la communication par la CNIL des lignes directrices qui devrait intervenir d’ici la fin de l’année.