1pulsion - Stratégie digitale, Marketing Direct et Social Selling en Belgique
Le GPDR ou RGPD pour « Règlement Général sur la Protection des données. »
C’est quoi ?
Il s’agit d’une règlementation ayant pour vocation de renforcer la protection et la confidentialité des données personnelles de chaque citoyen européen applicable dans toute l’UE et au-delà.
Cette nouvelle réglementation remplace la Directive sur la protection des données personnelles de 1995.
Le GDPR a été créé pour un contrôle plus poussé quant à la collecte et l’utilisation des données personnelles et une réactivité optimisée en cas de fuite de celles-ci, minimiser la collecte des données à caractère personnel, supprimer les données qui ne sont plus nécessaires, restreindre les accès, et sécuriser les données tout au long de leur cycle de vie.
Quelles sont ces données à protéger ?
Les données à caractère personnel ou PII (Personally Identifiable Information).
Noms, adresses, numéros de téléphone, numéros de compte, et plus récemment les adresses e-mail et les adresses IP.
Le GDPR ne s’applique pas uniquement aux entreprises et aux organismes possédant des données sensibles relatives à la santé ou à la finance. Sont concernés toute entreprise recueillant des données à caractère personnel de ressortissants européens, qu’elles soient physiquement ou non dans l’UE. Le GDPR ne s’arrête pas aux frontières de l’Union européenne
Si une entreprise veut sous-traiter la gestion de ses données acquise, elle doit s’assurer que cela s’effectue dans les règles du GDPR.
Les entreprises établies hors de l’UE sont également soumises au règlement dans la mesure où elles proposent des biens et des services aux résidents de l’UE, ou ciblent par le profilage.
Respect de la vie privée dès la conception – Le GDPR a formalisé les principes PII en minimisant la collecte et la conservation des données et en obtenant le consentement des consommateurs lors du traitement des données.
Évaluations d’impact du GDPR (Privacy Impact Assessments [PIA]) – Les entreprises devront d’abord faire une analyse des risques d’atteinte aux données avant de traiter certaines données sensibles.
Droit à l’effacement et à l’oubli – Un autre point approfondi par le GDPR est le droit à l’effacement et à l’oubli de vos données personnelles. Objet de controverses, cette mesure permet à tout personne de demander la suppression de ses données personnelles à l’entreprise, ce droit est étendu à toutes les données publiées sur le Web. L’entreprise a pour obligation en cas d’atteinte aux données, de le signaler dans un délai de 72h à compter de la détection pour prévenir l’autorité de contrôle
DPO- (pour “Data Privacy Officer”).Afin que les entreprises soient en conformité avec le GDPR, les régulateurs de cette loi imposent aux entreprises de nommer un Délégué à la Protection des Données Le DPO devrait être chargé de créer des contrôles d’accès, de réduire les risques, d’assurer la conformité, de répondre aux demandes, de signaler les infractions sous 72 heures et de créer une solide politique de sécurité des données. (Pour les entreprises de plus de 250 personnes).
Quels sont les risques en cas d’infraction ?
Pour que le GDPR soit pris au sérieux, des amendes financières très dissuasives ont été pensées en cas d’infraction. Les amendes pourront s’avérer significatives pour les organisations enfreignant les principes de “Privacy by Design”.
Elles pourront atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu. Ces amendes pénaliseront les infractions aux principes fondamentaux du GDPR tels que le respect de la vie privée dès la conception.
Une entreprise peut se voir imposer une amende allant jusqu’à 2 % de son chiffre d’affaires (article 83) si son registre des activités de traitement n’est pas correctement tenu (article 28), si elle omet de signaler à l’autorité de contrôle, voire à la personne concernée, une violation (articles 33 et 34) ou si elle n’effectue pas d’analyse d’impact (article 35).
Quels sont les points importants pour être en conformité ?
Classification des données : Savoir où sont conservées les données à caractère personnel sur votre système, les données disséminées dans des documents textuels, des présentations ou des feuilles de calcul etc… Cet aspect est très important pour être en mesure de répondre à des demandes de rectification ou de suppression de ces données.
Métadonnées : Pour satisfaire à l’obligation de suppression des données périmées, vous devrez disposer de métadonnées telles que la date de recueil des dites données, la raison de leur collecte et leur objet. Afin de justifier leurs conservations.
Encadrement : il s’agit de savoir qui a accès à ces données sur les systèmes de partage de l’entreprise, qui a le droit d’y avoir accès, puis de dresser un répertoire d’accès en fonction du rôle de chaque utilisateur au sein de l’entreprise.
Contrôle : L’obligation de signaler des atteintes aux données impose une charge de travail supplémentaire aux responsables de traitement de ces données. Dans le cadre du GDPR, le mot d’ordre est « Surveillance permanente ». L’entreprise devra être à même de détecter les accès aux fichiers de données à caractère personnel inhabituels et de rendre compte rapidement à l’autorité de contrôle compétente de tout manquement aux principes du GPDR. Toute infraction à cette obligation peut être un motif d’imposition de lourdes amendes, tout particulièrement pour les grandes multinationales réalisant un chiffre d’affaires mondial important.
En résumé, le message envoyé aux entreprises concernées par le GDPR est qu’il est encore plus important qu’avant de traiter les données à caractère personnel avec respect et sécurité, notamment de savoir en permanence où sont conservées les données sensibles, qui les exploite et qui peut disposer de l’accès à ces données.
Pascal Arnould
