Ce règlement européen est un texte à effet direct, c’est-à-dire qu’il n’y a pas besoin de loi nationale pour le transposer. Il sera directement applicable sur l’ensemble du territoire de l’Union européenne le 25 mai 2018. Le GDPR constitue l’une des plus vastes législations que l’UE ait adoptées ces dernières années, et un certain nombre de concepts à mettre en oeuvre, tels que le terme registre des traitements, analyse de risque, droit à l’oubli numérique, la portabilité des données, la notification des violations de données, et la responsabilité dite “accountability” (pour n’en citer que quelques-uns) nécessiteront un certain temps d’adaptation.
Les règles et obligations du GDPR s’appliquent au traitement – automatisé ou non – des données à caractère personnel. L’objectif du GDPR est de renforcer l’encadrement des pratiques en matière de collecte et d’utilisation des données à caractère personnel.
La logique du nouveau règlement est la suppression des formalités préalables auprès des autorités nationales de contrôle (CNPD). Il n’y a donc plus de déclaration ou de demandes d’autorisation préalable à la mise en place de traitements de données à caractère personnel.
Cependant, à partir du 25 mai 2018, le responsable du traitement (celui qui prend l’initiative de (faire) collecter et tenir des données à caractère personnel) a l’obligation de mettre en oeuvre des mécanismes et des procédures permettant de démontrer le respect des règles relatives à la protection des données.
Concrètement, les spécifications mêmes des applications qui traitent les données et leurs procédures d’exploitation devront prendre en compte les règles de protection des données personnelles édictées par le règlement. Cette documentation devra exister et être mise à disposition de la CNPD en cas de contrôle.
De plus, chaque responsable de traitements doit mettre en place un « registre des traitements de données » contenant un certain nombre d’informations au sujet des traitements de données d’une entité.
Le GDPR s'adresse à toutes les instances (entreprises, sociétés, administrations etc.) qui traitent ou possèdent des données à caractère personnel (données de citoyens européens)
Le GDPR vise à renforcer le droit des citoyens européens en les informant de l’usage - automatisé ou non - qui est fait de leurs données personnelles. Chacun pourra dès lors demander à une instance qui enregistre ses informations personnelles de les récupérer et, dans certains cas, de les supprimer. Plus particulièrement, les données des mineurs de moins de 16 ans ne pourront être acquises sans le consentement des parents.
Toutes les instances qui recueillent des données personnelles devront mettre en place un certain nombre de mesures. Voici les plus importantes:
Le responsable du traitement est celui qui prend l’initiative de (faire) collecter et tenir des données à caractère personnel. L’unique point de contact avec les autorités sera le représentant légal de l’entité. Certaines responsabilités seront toutefois partagées avec le sous-traitant, qui devra respecter des obligations spécifiques en matière de sécurité et de confidentialité.
En cas de non-respect du GDPR, les amendes prévues vont de 10 à 20 millions d’euros, ou de 2% à 4% du chiffre d’affaires mondial de l’entité concernée, le montant le plus élevé étant celui qui est retenu. Le montant des amendes dépendra de la nature de l’infraction ainsi que de l’éventuelle récidive du responsable de traitement.
La protection de la vie privée est au centre des préoccupations du Centre de gestion informatique de l’éducation (CGIE). Nous nous engageons à protéger et traiter vos données à caractère personnel dans le strict respect de la réglementation européenne 2016/679 ( http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR ).
Pour se rendre conforme à la réglementation européenne 2016/679 (RGPD) le CGIE a mis en place une mesure technique qui consiste à limiter géographiquement l'utilisation de nos applications pour le Luxembourg et pour nos pays voisins (Allemagne, France, Belgique).
Une ouverture géographique pour d'autres pays n'est donc pas possible pour des raisons de sécurité de données.
Afin de pouvoir accéder malgré cette mesure à nos applications en dehors de cette zone géographique, le CGIE propose d’utiliser un service VPN. Avec un service VPN, vous pouvez changer votre adresse IP pour une IP au Luxembourg, ce qui signifie que même si vous voyagez, vous pouvez toujours vous connecter comme si vous étiez «à la maison». Cela vous permet d’accéder à toutes nos applications, même lorsque vous êtes à l’autre bout du monde.