Implémentation du GDPR

7932529958_374ae3d68b_b

Le General Data Protection Regulation (GDPR) est un règlement européen sur la protection des données qui s’appliquera dès le 25 mai 2018. Le but de ce règlement est de changer drastiquement la manière dont les entreprises et les administrations peuvent collecter, stocker et partager les données de citoyens européens. Il s’agit d’harmoniser la gestion des données dans l’ensemble des pays de l’Union Européenne. L’idée générale consiste à donner davantage de droits aux citoyens en responsabilisant les acteurs économiques et sociaux qui traitent les données de ceux-ci.

Les obligations pour les entreprises

GDPR s’applique pour l’ensemble des acteurs économiques et sociaux, c’est-à-dire les entreprises, les associations, les organismes publiques et les sous-traitant. Toutefois, dans un soucis de clarté, nous qualifierons tous ces acteurs par le terme d’entreprise.

Les entreprises visées par le GDPR ne sont pas uniquement celles résidant dans un pays membre de l’Union Européenne mais toutes celles qui fournissent des biens et services aux citoyens européens. Les firmes suisses ou américaines sont donc tout aussi touchées que les entreprises européennes.

Ainsi, dès mai 2018, les firmes devront prendre toutes les mesures nécessaires pour être en conformité avec GDPR. Elle doivent a tous moment pouvoir prouver à l’autorité nationale de régulation qu’elle a bien remplis ses obligations en terme de protection des données (on dit alors qu’elle est GDPR-Compliant). De plus, les entreprises ne pourront plus récolter des données selon le principe « qui ne dit rien, consent ». Il faut désormais à la firme la preuve d’un consentement explicite d’un individu pour pouvoir traiter ses données. Les entreprises devront également créer de nouveaux postes, puisque la modification des plateformes nécessite une équipe technique. Aussi, le règlement européen demande aux entreprises de désigner un délégué à la protection des données (DPO). Lorsque les données traitées sont considérées comme sensibles, il apparient à l’entreprise de réaliser des études d’impacts (PIA) ainsi que des audits indépendants. Enfin, si la firme vient à être piratée, elle dispose alors de 72 heures pour rapporter la faille informatique aux autorités de régulation compétentes.

Les droits pour les individus

Le droit des personnes constitue le cœur de ce règlement. Il s’agit de droits d’accès, de rectification, de vérification ou encore d’effacement de ses propres données. Quand un individu souhaite agir sur ses données, il peut contacter l’entreprise et celle-ci doit répondre à sa demande dans le très court délai de 1 mois. Pour respecter ce délai, la firme doit donc savoir exactement où sont ses données (ce qui n’est pas le cas de la plupart des entreprises actuelles). Rappelons qu’il ne s’agit pas d’une directive mais d’un règlement, c’est-à-dire que les citoyens européens pourront se prévaloir des droits qui en découlent devant un juge national.

Les sanctions en cas de non-respect du règlement

Même sans violation de données, si l’autorité en régulation du pays demande à une entreprise de lui fournir les documents attestant de la mise en œuvre des règles relatives à GDPR, et que celle-ci n’est pas en mesure de les lui fournir, alors la firme en question se verra sanctionnée. La sanction est lourde puisqu’il s’agit de 4% du chiffre d’affaire annuel mondial ou de 20 millions d’Euros (le montant le plus élevé des deux est choisis). L’entreprise devra également payer les dommages et intérêts pour préjudices en cas de non-respect du GDPR lors d’un recours en justice.

 

Sources

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s