GDPR : General Data Protection Regulation ou Réglement général sur la protection des données.
Encore une nouvelle réglementation ?
La directive sur la protection des données (95/46/EC) est relativement ancienne, elle date de 1995. Les délégations de la Commission européenne, du Parlement européen et du Conseil européen ont travaillé ensemble à la création d’un nouveau règlement : la GDPR.
Un volume monumental de données est échangé chaque jour.
Cette directive n’était plus du tout adaptée à ces échanges quotidiens !
L’objectif de cette nouvelle réglementation vise donc à renforcer et à unifier la protection des données des individus au sein de l’Union européenne.
La GDPR vise à remettre aux mains des citoyens le contrôle de leurs données personnelles tout en augmentant leur niveau de protection.
Qui est concerné par la GDPR ?
Absolument toutes les entreprises qui récoltent et traitent les données de personnes physiques situées sur le territoire de l’Union Européenne sont concernées. Y compris les sociétés ou personnes traitant des données de citoyens européens en dehors de l’Europe (ainsi que leurs sous-traitants).
Les citoyens reprennent le contrôle sur leurs données
Le droit d’accéder à ses données
Ainsi, chaque citoyen a le droit de savoir si et comment ses données sont traitées, si il sera profilé, contacté, si ses coordonnées seront cédées à des tiers, … et s’y opposer !
Le droit à l’oubli
Chaque personne peut exiger que ses données soient supprimées mais aussi, à ce qu’elles ne soient plus diffusées et traitées. Cette demande pouvant être justifiée par le simple fait que l’on retire son consentement ou encore que les données soient obsolètes. Par exemple : La suppression d’un contenu, d’un commentaire ou d’un profil sur un site internet.
Cependant, cela est impossible ou illégal dans certains cas :
-
-
- Contrainte légale d’archivage de 10 ans de comptabilité (alors que le citoyen est client). Dans ce cas, hormis ces documents comptables obligatoires, le reste peut être supprimé.
- Non, vous ne pouvez pas faire valoir le droit à l’oubli auprès du ministère des Finances… Certains ont déjà essayé, ne perdez pas votre temps 😉
-
Le droit à la portabilité des données
Enfin, chaque personne peut demander à recevoir l’ensemble de ses données personnelles dans un format informatique lisible par tous afin de les transmettre à un autre responsable de traitement. Par exemple : Le transfert de données personnelles lors d’un changement de banque, de réseau social, d’opérateur téléphonique, de commerçant,… Cela ne s’applique, je le rappelle, qu’aux personnes physiques, pas aux personnes morales.
Un niveau de sécurité renforcé
La protection des données dès la conception
Cette notion impose aux organisations de répondre à certaines exigences relatives à la protection des données personnelles et ce, dès la conception des produits, services et systèmes exploitant ces données. Slytio Cloud a d’ailleurs été développé dans cette orientation.
La sécurité par défaut
Quant à cette notion, elle impose à toute organisation de disposer d’un système d’information sécurisé :
- Sauvegarde de vos données de manière FIABLE. Une clé USB posée à côté du PC n’a jamais protégé du vol ou d’un incendie. La seule sauvegarde fiable est la sauvegarde dans un autre lieu ET automatisée !
- Protection de l’accès à vos ordinateurs/tablettes/Smartphone par mot de passe, code ou biométrie !
- Vous partez vous servir un café ? Verrouillez votre ordinateur !
- Politique du Clean Desk : Chaque soir, aucun papier ne traîne sur votre bureau
- Détruisez les documents à caractère personnel et confidentiel. Les mettre dans une corbeille à papier ne suffit pas. Investissez dans une déchiqueteuse.
Notification en cas de fuite de données
L’autorité nationale de protection (en Belgique, la Commission de Protection de la Vie Privée ) CPVP) doit être avertie en cas de fuite grave de données.
Nomination d’un délégué à la protection des données
Un délégué à la protection des données (DPO) doit être nommé au sein des organismes publics ou privés dont les activités de base nécessitent un suivi régulier et systématique à grande échelles des personnes.
De très lourdes sanctions pour les manquements !
Les amendes en cas de manquement au respect du GDPR sont conséquentes. Dans certains cas, elles pourront s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires ! Un incitant plutôt sérieux pour vous mettre en ordre
Le comité européen de la protection des données
Création d’un comité européen. Celui-ci fait figure d’autorité dans tout ce qui concerne l’interprétation de la réglementation.
Pourquoi respecter cette nouvelle réglementation générale sur la protection des données ?
En mettant de côté les amendes, les entreprises peuvent voir l’arrivée de la GDPR comme une opportunité de :
-
-
- Définir les process de l’entreprise.
- Bien (re)définir les finalités, les durées de conservation, qui en interne et en externe a accès aux données afin d’également limiter la quantité de données à stocker et à sauvegarder.
- Informer correctement ses clients et prospects dans un soucis de transparence.
-
Vos priorités pour la mise en place du GDPR
-
-
- Formation et sensibilisation de mon personnel
- Le registre des traitements
- Mise en place des droits du client
- Consentement (Cookie policy, privacy policy) et conformité de mon site internet
- Mes fournisseurs et sous-traitants avec adaptations contractuelles
- Mise en place des procédures internes dont la gestion des incidents
-
Vous avez jusqu’au 25 mai 2018 pour vous mettre en ordre. Cependant, si vous avez un planning bien défini pour cette transition, vous devriez avoir un peu de largesses de la part d’un éventuel contrôleur.
Ce blog post se veut un résumé simpliste du GDPR et pourrait comporter des lacunes ou imprécisions.
Des questions ? Un avis ?
Commentaires récents