GDPR: qu’est ce nouveau règlement européen sur la sauvegarde de vos données ?
Qu’est ce que la GDPR ?
Le GDPR, «general data protection regulation», est le nouveau règlement européen décidé en décembre 2015 qui s’appliquera dès 2018 à toute entreprise qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne.
Il repose sur le droit fondamental inaliénable que constitue, pour chaque citoyen, la protection de sa vie privée et de ses données personnelles. La notion d’identification indirecte a son importance: si une entreprise ne peut déterminer directement l’identité d’un individu à partir des données collectées, un tiers pourrait potentiellement le faire.
D’ici peu, les autorités nationales de contrôle (la Cnil pour la France) seront en mesure de sanctionner à hauteur maximale de 4 % de leur chiffre d’affaires mondial, les entreprises et les organisations ne n’étant pas en conformité avec les multiples exigences imposées ou renforcées par le règlement.
A qui s’appliquera-t-il ?
A tous les acteurs économiques, voire sociaux : les entreprises bien sûr, mais également les associations, administrations, collectivités locales et syndicats entreprises.
En effet, lorsque l’on parle de données personnelles, on inclut les informations des employés, clients, partenaires, prospects, que celles-ci se trouvent sur des ordinateurs, des terminaux mobiles ou des serveurs, dans des échanges emails ou dans la consignation des logs et du traçage, même non identifié, des visiteurs du site Internet de l’entreprise. Entre le caractère omniprésent des données numériques et la notion d’identification directe et indirecte, aucune société ne pourra y échapper.
Le GDPR et ses obligations pour les entreprises:
En reposant sur le droit de chacun à la protection de ses données personnelles, le nouveau règlement impose des devoirs qui sont autant d’obligations aux entreprises. Celles-ci seront notamment tenues en principe de s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données, consentement qu’elles devront pouvoir recueillir et prouver.
Elles veilleront à ce que seules les données nécessaires à la finalité en cause, et seulement pour celle-ci, soient collectées. Les données ne devront être conservées aussi longtemps que nécessaire et leur accès, leur modification, leur restitution jusqu’à leur effacement sur la demande des individus concernés, devront être garantis.
L’entreprise veillera également à ce que ces données soient à tout moment et en tous lieux sécurisées contre les risques de perte, de vol, de divulgation ou contre toute autre compromission. Si, malgré tout, un tel événement se produisait, alors l’entreprise en question devrait le notifier rapidement (idéalement sous 72 heures) à l’autorité compétente, la Cnil en France, et informer les personnes concernées en cas de risque réel d’atteinte à la protection de leur vie privée.
L’entreprise devra en outre documenter toutes les mesures et procédures utiles pour assurer à tout moment cette protection. Elle ne pourra transférer en dehors de l’Union Européenne ces données que selon un cadre strictement défini par le règlement et n’engager pour le traitement de ces données que des entreprises tierces offrant toutes les garanties nécessaires pour répondre à ces obligations. Enfin, à tout moment, elle devra pouvoir prouver aux autorités compétentes que tout est bien mis en oeuvre pour répondre à ces obligations.
Quelles sont les grandes lignes du GDPR ?
- Transparence : Les organisations devront être transparentes dans la gestion et l’utilisation des données personnelles. Elles doivent être claires sur la façon dont elles traitent et utilisent les données.
- Limitation de traitement : Les données personnelles devront être traitées à des fins précises et légitimes. Il sera par ailleurs interdit de les réutiliser ou de les divulguer pour des applications autres que celles prévues initialement lors de leurs collectes.
- Volume et durée restreinte : Les organisations devront s’assurer que seules les données nécessaires seront conservées et uniquement pendant la durée nécessaire à l’objectif initial.
- Assurer l’exactitude des données personnelles : Les organisations devront permettre la correction et la suppression des données collectées. Elles devront également s’assurer que les informations détenues sont correctes.
- Assurer la sécurité, l’intégrité et la confidentialité : Des mesures devront être prises par les organisations pour sécuriser les données stockées.
- Obligation de notification : Les organisations auront l’obligation de reporter toutes violations de données personnelles sous 72h.
Quelles sont les sanctions ?
En cas de non-conformité ou de non-respect, l’organisation incriminée devra payer une amende égale à 4% du chiffre d’affaires annuel MONDIAL ou bien 20 Millions d’euros. Il s’agira du montant le plus important !
Data-IT et son concept breveté DataSecuryBox, vous accompagne dans vos démarche de protection de données !