Blog

En 2016, le Parlement européen a adopté une série de nouvelles dispositions relatives à la protection des données privées des consommateurs. À l'entrée en vigueur, les entreprises disposaient d'une période de transition de 2 ans. Son échéance se termine le 25 mai 2018. À cette date, toutes les entreprises devront être en règle avec les nouvelles dispositions. Cependant, la grande majorité avouent ne pas encore répondre à ce nouveau cadre. Ensemble, faisons le point sur cette nouvelle réglementation.

La Réglementation Générale sur la Protection des Données telle que voulue à partir du 25 mai 2018 sera la seule et unique réglementation en application pour tous les états membres de l'union européenne. Celle-ci s'applique également pour les entreprises situées en dehors de l'union mais qui traitent des données personnelles relatives à des entreprises ou des résidents européens. Cette nouvelle réglementation a pour but de donner aux citoyens un maximum de transparence en leur apportant un meilleur accès à leurs données personnelles ainsi que des possibilités de gestion. En cas de non-respect, les entreprises s'exposent à une amende pouvant s'élever jusqu'à 20 millions d'euros ou représenté 4 % du chiffre d'affaire annuel.

Qu'est-ce que la Réglementation Générale sur la Protection des Données ?

La Réglementation Générale sur la Protection des Données ou GDPR est un nouveau règlement européen. Il introduit une série de mesures fixant un cadre juridique strict au traitement des données personnelles au sein de l'union.
Ces nouvelles normes sont destinées à renforcer les droits des citoyens et de leur accorder davantage de contrôle sur la gestion de leurs données personnelles.

Cette nouvelle réglementation sera applicable et obligatoire dans tous les pays membres de l'union européenne, et ce, dès la fin de l'échéance de transition.

Qui est concerné par la Réglementation Générale sur la Protection des Données ?

Le texte tel qu'il est conçu ne laisse aucun doute sur le champ d'application. Dès lors, ce sont absolument toutes les entreprises qui traitent et récoltent des données personnelles situées sur le territoire de l'union européenne qui sont impactées par cette nouvelle réglementation.
Il va sans dire que ce nouveau règlement s'applique sans distinction tant aux entreprises responsables du traitement qu'aux sous-traitants. De plus, elle s'applique indistinctement à tous les recueils de données, qu'ils soient digitaux ou non.

Par conséquent, cette réglementation s'applique à toutes les activités de traitement de données liées à des individus résidant dans l'union européenne. L'entièreté de l'offre de biens ou de services, gratuits ou non, est donc incluse dans l'application des nouvelles normes.

Quels sont les principaux changements de la nouvelle Réglementation Générale sur la Protection des Données ?

En plus de s'appliquer à tous les états membres de l'union européenne, la nouvelle réglementation renforce et unifie la manière de traiter la gestion des données personnelles. Par conséquent, elle s'applique également aux entreprises extérieures à l'union européenne qui traitent de données relatives à des entreprises ou des citoyens se situant dans l'union.

Même si les principes de base de l'ancienne législation restent de mise, la nouvelle réglementation apporte, cependant, quelques changements importants.

Le renforcement des droits des personnes

La nouvelle réglementation vise à donner aux citoyens un accès plus facile, plus rapide et plus clair à l'ensemble de leurs données. Sur cette base, elle émet 4 directives majeures :

Le droit d'accéder à ses données

Chaque citoyen a le droit de savoir si des données personnelles sont récoltées. De plus, il doit pouvoir recevoir une information précise et claire sur l'usage qu'il sera fait de ces données.

Le droit à la portabilité des données

Une personne doit pouvoir récupérer l'intégralité des données personnelles sur un support informatique lisible par tous.

Le droit à l'oubli

Chaque citoyen a le droit d'exiger que ses données personnelles soient supprimées, mais également qu'elles ne soient plus ni analysées ni diffusées. Ceci est également valable pour les profils créés sur les sites Internet, les commentaires et les réseaux sociaux.

La protection des mineurs

Le consentement parental est rendu obligatoire pour toutes les données concernant un mineur de moins de 16 ans.

Le renforcement des normes de sécurité

L'anticipation de la protection

Cette notion impose aux entreprises de répondre à des exigences strictes relatives au traitement et à la protection des données, et ce, dès la conception du système d'exploitation.

La sécurité par défaut

Toutes les organisations doivent disposer d'un système d'information sécurisé.

La nomination d'un délégué à la protection des données

Chaque entreprise composée de plus de 250 salariés devra nommer directement un délégué à la protection des données ou sous-traiter cette activité à un professionnel.

L'analyse de risque

Pour chaque activité pouvant avoir des conséquences importantes sur le traitement des données privées, les entreprises doivent réaliser une évaluation sur l'impact engendré. Cette évaluation doit prendre en considération la nature des conséquences éventuelles et prévoir des mesures adaptées pour y remédier.

Les nouvelles notions à assimiler

Privacy by design

Ce concept a pour objectif de garantir que la protection de la vie privée, telle que voulue par la nouvelle réglementation, sera intégrée à toutes les nouvelles applications, et ce, dès leur conception. Qu'elles soient technologiques ou commerciales, si ces applications traitent des données personnelles, elles devront assurer au client le plus haut niveau possible de sécurité.

Consentement

Les entreprises devront disposer d'un consentement explicite des citoyens pour pouvoir exploiter leurs données privées.

Anonymisation

Ce traitement consiste à changer la structure des données afin de rendre impossible l'identification des personnes dont elles sont issues.

Pseudonymisation

Ce processus doit permettre aux données de perdre leur caractère nominatif. Elles restent liée à la personne, dans tous les dossiers et systèmes informatiques, sans cependant que l'identité n'y soit révélée.

Droit à l'oubli

L'article 17 de la GDPR permet à tous les citoyens d'exiger un effacement de leurs données personnelles.

Portabilité

Les citoyens ont le droit de réclamer l'intégralité des données qu'ils ont fournies à des entreprises, et ce de manière lisible, sans que celles-ci y fassent obstacle.

Quelles sont les sanctions en cas de non-respect de la Réglementation Générale sur la Protection des Données ?

Comme toutes les réglementations, la GDPR engendre des sanctions en cas de non-respect. Suivant la nature de l'infraction et son intentionnalité, les sanctions prévues sont très variables.

  • Si la faute n'est pas intentionnelle ou que l'entreprise est prise pour la première fois en défaut, un simple avertissement est envisageable.
  • Si la faute est intentionnelle, que l'entreprise récidive ou que la nature de l'infraction est grave, l'entreprise peut être sanctionnée d'une amende allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaire annuel.
Lu 824 fois
Évaluer cet élément
(8 Votes)

About The Author

1 Commentaire

Laissez un commentaire

Assurez-vous d'entrer toutes les informations requises, indiquées par un astérisque (*). Le code HTML n'est pas autorisé.