Le GDPR expliqué à son patron

Le General Data Protection Regulation, ou Réglementation de la protection des données personnelles (en français), est une réforme de L’Union Européenne ayant pour but de protéger les données et informations personnelles des individus. Sa mise en application est prévue pour courant 2018. Par conséquent, il serait bien d’en cerner les contours et corolaires, afin d’envisager la conduite à adopter en tant que chef d’entreprise ou responsable en vue de gagner en temps et en argent.

 

 

La notion de Réglementation des données personnelles

Déjà, il convient de préciser que le GDPR est une forme évoluée de la DPD, qui existait depuis 1995. Cependant, la nouvelle règlementation de la protection des données présente plus d’efficacité dans la mesure où elle permet de contenir les excès des GAFAM (Google, Apple, Facebook, Amazon, Microsoft), et de s’adapter aux malversations de tout ordre. Il s’agit notamment des fraudes, des cas d’usurpation d’identité, de chantage, de piratage, de faux et d’usage de faux, qui ont considérablement pris de l’ampleur ces dernières années. A première vue, cette réforme est la bienvenue pour les citoyens du vieux continent. Cependant, elle ne fait pas les affaires des professionnels du numérique et de ceux dont le business est basé sur les marchés où les données personnelles forment la base même de toutes les opérations. Cette nouvelle règlementation suppose des obligations, afin d’être juridiquement en règle. Avant de s’y pencher, il serait intéressant de comprendre la notion de « données personnelles » au sens du législateur européen.

 

 

Les différents types de données personnelles au sens du droit européen

Le législateur estime qu’il existe plusieurs types de données personnelles à savoir :

– les données personnelles « génériques » (nom, prénom, date de naissance, sexe, adresse physique et IP, photo, et publications sur les réseaux sociaux),

– les données « personnelles et sensibles », il s’agit de celles liées à la santé, aux origines raciales et ethniques, à la sexualité et aux opinions politiques, ainsi que celles en rapport avec les obédiences religieuses,

– les données « biométriques » (ADN, empreintes digitales, données recueillies par reconnaissance faciale et rétine, etc.)

 

 

Consentement de l’individu

S’agissant du GDPR, la notion de consentement de l’individu est primordiale. Ici, la règlementation a pour but de donner plein pouvoir et un contrôle total aux individus sur leurs données personnelles. Cette liberté est synonyme de :

– libre accès à ses données à tout moment,

– rétractation volontaire à tout moment avec possibilité de réclamer la suppression de toutes ses données.

– faculté de communiquer ses données sans risque de préjudice (ceci peut causer une limitation à la totalité du service pour l’utilisateur),

– connaissance claire des raisons qui justifient la fourniture de données,

– consentement intelligible et totale par « action déclarative » de la part de l’individu concerné,

 

 

L’étendu territoriale de la règlementation

Elle s’applique à toutes les entreprises dont les activités se déroulent dans l’UE. Concrètement, sont concernées, les entreprises :

– possédant des bureaux en zone UE,

– développant des sites internet et applications mobiles disponibles dans les langues de la zone UE,

– affichant des prix de vente en devise de l’UE,

– possédant des noms de domaine provenant de l’UE.

 

 

 

Comment se mettre en conformité avec cette réforme ?

La règlementation sur la protection des données personnelles est obligatoire pour toutes les entreprises qui emploient plus de 250 salariés. Pour les entreprises en dessous de ce plafond si l’entreprise récolte et gère fréquemment des données client, ainsi que ceux où elle opère sur des données client pour le compte de clients B2B, supposent qu’elle est considérée comme « Data Processor » et donc soumise à la conformité. En d’autres termes quasi toutes les entreprises sont concernées.

Il est important de savoir que dès le 25 mai 2018, vous devrez être en conformité avec le GDPR. Pour le faire, la CNIL décortique les 6 étapes à suivre. Essentiellement, il faut :

– tenir un registre numérique actualisé de tous les traitements de données,

– prévoir le chiffrement ou la pseudonymisation des données sensibles,

– obtenir le consentement de tous les individus concernés,

– mettre en conformité ses sous-traitants et mettre à jour les bases contractuelles,

– disposer d’une charte de bonne utilisation des données personnelles,

– nommer un ou plusieurs Data Protection Officer (selon la taille de l’entreprise),

– mettre en place une procédure alternative auprès de la CNIL et une communication de crise en cas de violation des données personnelles.

 

 

Le non-respect de ces directives donne droit à la CNIL :

– d’imposer une amende de 10 millions d’euros ou de 2% du CA mondial (si le montant est supérieur) à toute entreprise organisée en inadéquation avec ces directives,

– d’imposer une amende de 20 millions ou 4% du CA mondial (si le montant est supérieur) à toute entreprise ne respectant pas les droits accordés aux personnes dont elle détient les données.

 

LAISSER UN COMMENTAIRE

%d blogueurs aiment cette page :