RGPD : Ce qu’il faut retenir
Le RGPD : les raisons de sa création
Le RGPD s’inscrit dans la mouvance actuelle. En effet, depuis l’émergence d’internet dans les années 2000, les scandales se sont multipliées. On peut citer notamment le hacking de plus d’un milliard de comptes de Yahoo à plusieurs reprises en 2013. De même, plus récemment, il y a eu le scandale Facebook/Cambridge Analytica.
Par conséquent, cela a conduit à une prise de conscience de taille : l’importance d’une denrée stratégique dans l’économie actuelle. En effet, l’enjeu actuel réside dans le traitement des données. On parle ainsi du big data. Il en résulte alors le besoin de protéger les données personnelles sur Internet.
C’est dans ce contexte que l’Union européenne a mis en place le GDPR. Cet acronyme signifie : General Data Protection Regulation. En fait, il s’agit d’un ensemble de dispositifs juridiques crée en Avril 2016. L’objectif affiché est de protéger les données existant au sein de l’Union Européenne. Ce nouveau règlement est applicable à partir du 25 mai 2018.
Objectifs du RGPD
Ainsi, il est possible de dénombrer deux objectifs :
- standardiser les lois de protection de données existant déjà dans les pays de l’Union
- responsabiliser les entités sur la protection des données personnelles (stockage, traitement, utilisation, échange)
Champ d’action du RGPD
Qui sont concernés ?
- Toute entité dont le siège social se trouve dans l’un des Etats membres de l’Union européenne
- Toute entité à l’international (hors Union européenne) qui s’adresse à au moins une personne sur le sol européen
De quoi parle t-on ?
– Il s’agit de l’article 4 du RGPD :
“comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.”
Autrement dit, le RGPD s’applique aux données personnelles :
- basiques : nom, numéro de téléphone, la localisation, l’identification en ligne
- sensibles : race, sexualité, religion, affiliation politique, santé, condamnations criminelles
RGPD et implications dans l’entreprise
Aussi, pour se conformer à ce nouveau règlement, les entités ont dû introduire des modifications substantielles ; celles-ci concernent la manière de traiter les données. En effet, le RGPD exige :
– l’obligation de nommer un DPO i.e. data protection officer (soit un délégué à la protection des données) pour les entités ayant au moins 250 employés et dont le métier de base est de traiter les données personnelles. Il peut être issu de l’entité ou embauché en sous-traitance.
L’entité devra également veiller à l’absence de conflits d’intérêt. Par exemple, elle pourra nommer un DPO qui est également un manager IT (information technology ie informatique).
En effet, son rôle est d’assurer la sécurité des données personnelles. Ainsi, les employés de l’entité ou ses clients peuvent en être la source : il s’agit de la notion de « privacy by design »
– la création d’un registre i.e. une modification du process du management des données au sein de l’entreprise répondant aux questions : d’où viennent les données? avec qui sont-elles partagées ?
En effet, le problème est le suivant : on peut dupliquer les données dans les disques durs internes/externes ou dans le cloud. De plus, les données peuvent l’objet d’un partage à des tierces personnes.
Désormais, l’entité doit enregistrer tout traitement et tout mouvement de données. Il en résulte alors la création d’un registre mis à jour. Ce registre reste disponible à l’intention des autorités européennes et locales si besoin est.
Aussi, les données personnelles ne peuvent plus être partagées avec d’autres entités sans l’accord de l’intéressé.
Conformité juridique de la protection des données personnelles
Tel est l’enjeu du nouveau règlement européen. En effet, il édicte des mesures spécifiques à respecter en cas de vol, perte ou autre brèche de sécurité. En outre, ces mesures se déclinent en deux volets :
– transparence
Toute entité victime de failles de sécurité doit faire la démarche suivante :
- informer les autorités locales dans les 72 heures (soit en France, la CNIL)
- contacter l’individu in fine concerné.
– pénalités
En cas de non respect de cette procédure, les sanctions sont substantielles :
- non respect procédures du traitement des données personnelles : « specified infrigements » : pénalités allant jusqu’à 10 millions d’euros selon les cas
- pénalités en cas de non divulgation d’une faille de sécurité : le montant des pénalités peuvent aller jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros.
Conclusion
Le RGPD s’applique à toute entité, organisme public ou entreprise privée, ayant affaire à tout résident de l’Union européenne. L’objectif visé est de protéger les données personnelles des individus ainsi que leur vie privée. De ce fait, les entités concernées doivent mettre en place et/ou affiner les procédures de traitement de données. Cela passe par l’automatisation pour une grande part et ce, désormais, en vue de respecter cette nouvelle réglementation. En effet, celle-ci entre en vigueur à partir du 25 mai 2018.
source officielle : https://gdpr-info.eu/
Pour en savoir : voir le blog management financier