Qu’est que ce que la GDPR ?
Le 27 Avril 2016, le General Data Protection Regulation (GDPR) était adopté par l’Union Européenne pour une mise en application le 25 Mai 2018. Ce texte est une évolution de la protection des données (Data Protection Directive) datant de 1995. Ce nouveau cadre juridique relatif à la protection des données personnelles s’appliquera à toutes les entreprises et organismes (publics ou privés) collectant, gérant et/ou stockant des données au sein de l’Union Européenne. Le but est de simplifier et harmoniser la réglementation autour de la protection des données. Trois objectifs s’en dégagent : consolider les droits des personnes physiques, renforcer les pouvoirs des autorités européennes et responsabiliser les entreprises qui traitent les données à caractère personnel.
La nouvelle loi cherche à définir le concept de données personnelles, c’est-à-dire les données qui permettent d’identifier un individu. Cette règle est liée au développement important des nouvelles technologies : cloud computing, réseaux sociaux, mobile, internet, collecte et analyse des données. Le GDPR repose sur le droit fondamental de chaque individu à la protection de la vie privée et des données personnelles. Les notions de transferts de fichiers sécurisés et de droit à l’oubli font parties de ces nouvelles règlementations.
La législation de protection des données personnelles est aujourd’hui l’une des premières préoccupations majeures. Quatre axes de changement se dégagent : le renforcement des contrôles, la responsabilisation des entreprises, le « privacy by design » et la priorité au client. Chaque pays possède sa propre législation en matière de protection de données, la GDPR étant un règlement européen, il s’appliquera donc à tous les états membres. Le texte vise à favoriser la transparence et donc la confiance entre les consommateurs et les entreprises vis-à-vis de l’utilisation des données personnelles.
Autre point important, la nouvelle réglementation s’appliquera aux entreprises européennes mais aussi aux entreprises non-européennes commerçant dans l’UE.
Ce que la GDPR va changer dans les entreprises
Point néanmoins important, la nouvelle réglementation s’appliquera aux entreprises européennes mais aussi aux entreprises non-européennes commerçant dans l’UE.
Les entreprises vont devoir cartographier le flux des données et être aptes à donner la localisation, l’utilisation, le stockage, la sécurisation, le transfert et l’effacement de ces données. La sécurité des informations est aussi au centre de ce texte, les institutions doivent pouvoir évaluer et analyser le système de protection de données et reporter toutes anomalies rencontrées à l’autorité en charge du pays, la CNIL en France.
La GDPR instaure le droit à l’oubli désormais un client peut demander à toute entreprise utilisant des données personnelles d’effacer ses données dans les meilleurs délais. Pour les moins de 16 ans, le consentement d’un titulaire de l’autorité parentale doit être demandé pour l’utilisation des données. Un délégué à la protection des données sera nommé afin de veiller au respect de la règlementation mais aussi informer l’entreprise et les employés. Ce délégué sera l’interlocuteur privilégié des autorités de régulations au sein de l’entreprise.
Si le processus est en règle, les entreprises peuvent demander un certificat européen, valable 5 ans, attestant de la conformité au GDPR. Dans le cas inverse, les règles sont désormais beaucoup plus strictes. Côté sanction, les amendes peuvent aller jusqu’à 20M d’euros ou 4% du chiffre d’affaire mondial. Les données à caractère personnel étant d’un grand enjeu, ce règlement doit être prit comme une opportunité d’un point de vue entrepreneuriale.
Mais où en sont les entreprises à quelques semaines de l’entrée en vigueur de la nouvelle règlementation ?
De nombreuses entreprises ne seront pas prêtes pour l’entrée en vigueur du GDPR. Selon une étude réalisée, par le cabinet Deloitte, seulement 15% des entreprises seront en conformité tandis que 23% n’ont même pas démarré la mise en conformité … Il reste donc énormément de travail pour nombre d’entreprises et d’organismes si elles veulent respecter la GDPR lors de sa mise en vigueur.