Comme vous le savez certainement, l’Union européenne a adopté une nouvelle règlementation portant sur la protection des données personnelles et de la vie privée. Et cette nouvelle règlementation sera applicable à partir du 25 mai 2018. Ce nouveau règlement a été mis en place pour remplacer la directive de 1995, adoptée avant la création des réseaux sociaux, du Cloud,du Big Data ou des objets connectés. En d’autres mots, une directive complètement désuète aux vues des évolutions technologiques.

Le GPDR vient réguler un monde où les données personnelles font l’objet d’un business florissant et où une protection des droits des citoyens devient plus une nécessité qu’un luxe. Qu’est-ce que le GDPR ? Pourquoi le GDPR ? Quelles sont les principales obligations que ce nouveau règlement impose ? Un tour d’horizon sur une règlementation qui est en train de bouleverser les habitudes de toutes les organisations telles que nous les connaissons.

 GDPR: General Data Protection Regulation ou RGPD : Règlement Général sur la Protection des Données

Après 4 années de négociation législatives, le nouveau règlement sur la protection des données (GPDR) a été enfin adopté par le Parlement européen le 14 avril 2016. Les dispositions qu’il contient sont directement applicables dans tous les états membres de l’UE à partir du 25 mai 2018.

Son adoption marque une volonté de réformer les règles de la protection des données dans l’UE par la mise à jour et la modernisation des normes existantes (directive européenne de 1995). Mais surtout, ce nouveau règlement vise à redonner aux citoyens le plein contrôle sur leurs données personnelles, tout en essayant de ne pas limiter le développement des entreprises.

Qui est concerné par le RGPD ?

Le RGPD s’applique à toutes les entités qui dans le cadre de leur activité récoltent des données personnelles de citoyens européens. Pour rappel, une donnée personnelle est toute information permettant d’identifier directement ou indirectement une personne physique : nom, numéro de téléphone, n° de compte… Même les entreprises qui sont hors de l’UE et qui traitent des données personnelles de personnes situées dans l’UE sont soumises aux GDPR.

Les principales obligations imposées par le GDPR

Les entités soumises aux GDPR doivent respecter plusieurs obligations :

  • L’obligation d’information et de transparence : lorsqu’une entreprise collecte des données elle doit informer les personnes concernées du sort de leurs données (usage, finalité, conservation, destinataires…) :
  • L’obtention du consentement des personnes concernées : aucun traitement de données ne doit être réalisé sans le consentement explicite et libre des personnes concernées ;
  • Renforcer la sécurité et assurer la légalité du traitement des données : toutes les entités qui manipulent des données personnelles doivent mettre en place des mesures techniques et organisationnelles pour garantir la sécurité maximum des données ;
  • Tenir un registre des traitements : les entreprises qui traitent des données personnelles doivent établir un registre des traitements. On doit y trouver plusieurs informations : coordonnées du responsable de traitement, personnes concernées, mesures de sécurité mises en place, durées de conservation, destinataires…
  • L’obligation d’information spéciale en cas de violation : information de l’autorité de contrôle et des personnes concernées ;
  • L’obligation de nommer un DPO : le GDPR oblige certaines entités à nommer un DPO. Cette obligation touche essentiellement les entreprises qui réalisent des traitements de données sensibles, qui réalisent périodiquement des suivis sur le comportement des personnes (profilage) ou qui mettent en œuvre des traitements de surveillance à grande échelle.

Les nouveaux droits consacrés par le GDPR

Plus haut, on a dit que le GDPR a été mis en place pour redonner aux citoyens le plein contrôle sur leurs données personnelles. C’est la raison pour laquelle de nouveaux droits ont été consacrés par ce nouveau règlement :

  • Droit à la limitation du traitement : toute personne concernée peut demander la limitation du traitement de ses données ;
  • Droit à l’effacement ou droit à l’oubli : dans certains, une personne concernée peut demander l’effacement de ses données. Pour ce faire, il en fait juste la demande auprès du responsable du traitement ;
  • Droit à la portabilité des données : une personne concernée peut demander à tout moment que ses données soient transférées à un nouveau responsable du traitement. Le droit à la portabilité des données a été instauré pour redonner une meilleure maitrise de leurs données aux citoyens.

Des sanctions plus sévères

Le GDPR donne à l’autorité de contrôle des pouvoirs relativement importants. Elle peut mener des contrôles, adresser des avertissements et même infliger des sanctions administratives et financières. Les amendes qu’elle prononce peuvent aller jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros. Le montant le plus élevé sera celui qui sera retenu.