RGDP: le Règlement Européen sur la Protection des Données

Bruno Gossart - Legal & Tax Expert
24 mai 2018
Le droit à la vie privée est un des droits essentiels reconnus dans la Charte des droits fondamentaux de l’Union européenne. À partir du 25 mai 2018, le règlement européen RGDP vient modifier la législation existante en matière de protection des données personnelles. Face aux développements technologiques permettant des traitements quasi sans limites, l’Union européenne a souhaité créer un régime de protection de la vie privée où les personnes peuvent garder la maîtrise de leurs données et reçoivent des droits tout en permettant aux responsables de traitements des données (les entreprises) de pouvoir exercer leurs activités.

Que sont exactement les données à caractère personnel ? Ce sont toutes celles qui permettent d'identifier une personne, et avec les évolutions technologiques, elles sont devenues nombreuses et variées et font l'objet de multiples traitements par les entreprises.

Afin de pouvoir exercer correctement son activité d’assureur, Bâloise Vie Luxembourg traite de nombreuses données personnelles qui lui sont communiquées par ses clients et partenaires. Il faut savoir que Bâloise Vie Luxembourg était déjà soumise comme responsable de traitement à la "Loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel".[1].

Quels sont alors les nouveautés qui interviennent avec GDPR ?

A. De nouveaux droits pour les personnes :

  • une plus grande transparence, davantage d’informations à donner, et la limitation des données traitées à celles qui sont utiles ;
  • l’utilisation des données dans les seuls cas permis par la loi, à savoir pour la compagnie en tant qu'assureur : l’exécution contractuelle ou, si une personne donne son consentement ou sur base d'un intérêt légitime ou d’une obligation légale ;
  • un renforcement des droits existants comme le droit d’accès, le droit à la rectification et à l’opposition ;
  • la création de nouveaux droits comme le droit à l’effacement ou à la portabilité des données ;
  • le renforcement des conditions d’obtention du consentement pour pouvoir traiter les données médicales ; consentement qu'il est possible de retirer à tout moment.

B. De nouvelles obligations sont mises à charge des responsables de traitements :

  • tenir un registre de tous les traitements de données effectués ;
  • être en mesure de documenter et prouver que la compagnie a une organisation conforme à RGDP ; 
  • effectuer des analyses d’impact RGDP dans l’élaboration des produits et des procédures ;
  • se doter d'un Data Protection Officer (DPO) dont le rôle est d’informer, conseiller sur RGDP et de contrôler la conformité ;
  • établir des mesures variées de sécurité de haut niveau pour assurer la sauvegarde et la confidentialité des données lorsqu’elles sont traitées par la compagnie ou ses sous-traitants qui doivent également être en conformité avec RGDP ;
  • mettre en place des systèmes de réaction rapide à des incidents de fuite de données avec des notifications à faire auprès de la CNPD[2] et dans certains cas également auprès des personnes concernées.

C. Un renforcement des pouvoirs des autorités de contrôle

La Commission Nationale pour la Protection des Données reçoit davantage de pouvoirs de contrôle et est habilitée à infliger des sanctions beaucoup plus sévères, allant jusqu’à 2 à 4% du chiffre d’affaires mondial d’un groupe ou de 10 à 20 millions d’EUR.

 

La non-conformité avec RGDP n’est simplement pas une option.

RGDP, c’est l’instauration d’une nouvelle culture de la prise en compte systématique, quotidienne et continue de la protection des données. C’est donc l’affaire de tous et de chacun au sein de notre compagnie. C’est d’ailleurs pour cela que la formation RGDP de tous les employés de Bâloise Vie Luxembourg est cruciale. RGDP, par ses standards de qualité, a également pour objectif, de recréer un climat de confiance entre les personnes et les responsables de traitements.

Vous souhaitez en savoir plus sur la protection des données personnelles et leur traitement au sein de Bâloise Vie Luxembourg, n'hésitez pas à prendre contact avec nous ou avec notre Data Protection Officer.

 

[1] La loi du 2 août 2002 est entrée en vigueur le 1er décembre 2002 et a notamment été modifiée par la loi du 27 juillet 2007 (aperçu des modifications principales) et par la loi du 28 juillet 2011. Elle transpose en droit luxembourgeois les dispositions de la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[2] Commission Nationale pour la Protection des Données au Grand-Duché de Luxembourg - https://cnpd.public.lu/fr.html

Top