La manière dont les entreprises gèrent les données personnelles va changer radicalement le 25 mai 2018, lorsqu’entrera en vigueur le GDPR, le règlement avec lequel l’Europe va protéger les données de ses citoyens. Votre entreprise recueille et/ou traite des données personnelles ? Alors prenez les mesures qui s’imposent, car si vous ne respectez pas la loi, vous risquez de monstrueuses amendes.

Toutes les entreprises qui conservent des données personnelles (data controller) et/ou en traitent (data processor), vont devoir relever d’importants défis. Le 25 mai 2018 entrera en vigueur le General Data Protection Regulation (GDPR), en français le Règlement général sur la protection des données (RGPD). Il s’agit en fait de la révision d’une loi européenne plus ancienne, de 1995 : la Data Protection Directive. Les différences d’interprétation entre les États membres créaient fragmentation et manque de clarté. Le GDPR y met un terme définitif. Ce train de règles strictes, faisant suite au développement numérique récent qu’est the internet of things, est adapté à la situation actuelle. Songez aux cloud services, aux réseaux sociaux, et à l’invraisemblable tsunami de données auquel nous sommes confrontés actuellement.

La transparence avant tout. Cela signifie que chaque entreprise doit expliquer de manière claire et compréhensible comment elle recueille et traite les données personnelles. Les conditions d’utilisation sujettes à interprétation et une protection défaillante de la vie privée ne sont plus tolérées. Toute personne devra savoir à quelles fins ses données sont utilisées.

Sachez aussi que l’entreprise ne peut recueillir que des données essentielles pour son fonctionnement. Si votre entreprise veut récolter des données de personnes, elle devra dorénavant demander explicitement l’autorisation ou pouvoir démontrer un intérêt justifié. L’autorisation doit être donnée explicitement : pas de case précochée ou une autre forme de non-agissement. Accepter l’utilisation des cookies, comme c’est le cas actuellement, ne suffira plus.

Notification obligatoire des fuites de données

Les fuites de données doivent être suivies plus strictement et notifiées. Le GDPR oblige les entreprises à signaler les fuites de données dans les 72 heures, sauf s’il n’y a pas de danger pour les données personnelles recueillies. Aux Pays-Bas, cette obligation existe depuis longtemps déjà, mais ce n’était pas encore le cas chez nous.

Une entreprise qui traite les données systématiquement et à grande échelle est obligée de nommer un data protection officer (DPO). Celui-ci doit veiller à ce que l’entreprise respecte toujours le GDPR. Ce qui ne représente pas une petite responsabilité. L’accountability, l’obligation de rendre des comptes, est donc un thème important du GDPR. Chaque entreprise qui recueille des données doit pouvoir démontrer qu’elle satisfait à ce nouveau règlement. Dans la pratique, cela signifie qu’elle doit disposer d’un ‘data inventory’ et effectuer des Privacy Impact Assessments (PIA) pour les traitements à haut risque.

Portée

La portée du GDPR est énorme. Chaque organisation sise dans l’UE ou qui recueille et/ou traite des données de citoyens UE est assujettie à ce règlement. D’innombrables entreprises qui géraient les données personnes sans trop de restrictions jusqu’à présent vont voir leur liberté d’action considérablement réduite. Également en ce qui concerne les types de données qu’elles peuvent recueillir et traiter.

Dans notre pays, l’Autorité de protection des données sera en charge du contrôle. Elle remplacera la commission belge pour la vie privée à partir du 25 mai 2018. Les infractions seront sanctionnées par des amendes administratives qui pourront être très élevées. Dans la catégorie la plus légère, elles pourront aller jusqu’à 10 millions d’euros, ou 2% du chiffre annuel mondial total de l’exercice précédent s’il est supérieur à 10 millions d’euros. Les amendes devraient avoir un effet dissuasif et empêcher les entreprises très nanties ‘d’acheter’ des infractions. Mais il sera toujours tenu compte de la nature, de la gravité et de la durée de l’infraction. Les mesures prises ou non par le contrevenant pour se mettre en règle avec le GDPR seront également examinées.

Des droits supplémentaires pour les personnes

Dorénavant, chacun aura droit à l’oubli. Si une personne le demande, votre entreprise sera obligée de supprimer toutes les données de celle-ci. Elle aura également le droit de vous réclamer ses données personnelles que vous détenez chez vous et de les transmettre à d’autres parties. Par exemple lorsqu’elle change de fournisseur d’énergie ou de télécom. C’est ce qu’on appelle la ‘data portability’.

Ce règlement met tout en œuvre pour protéger les données personnelles au sein de l’UE. Les citoyens pourront plus facilement introduire des plaintes contre les organisations qui ne respectent pas leurs droits. Les organisations qui traitent les données personnelles (data processors) ne resteront pas hors de portée de la loi non plus, et ça, c’est une nouveauté. Il deviendra moins évident pour elles de travailler avec des données personnelles particulières.

Source: Graydon.be