GDPR : l’essentiel à savoir
La GDPR (General Data Protection Regulation ou Règlement général sur la protection des données) est la dernière régulation votée par le Parlement européen concernant la sécurité des données individuelles, entrant en application le 25 mai 2018.
Son objectif est double : donner davantage de contrôle aux citoyens européens sur leurs données privées et simplifier les régulations inhérentes à ces données pour les organisations.
Clever Net Systems vous propose dans cet article un résumé des points à prendre en compte pour votre entreprise.
Qui est concerné ?
Ce standard européen est applicable à l’intérieur des 28 pays membres de l’UE ainsi qu’aux entreprises hors UE manipulant des données issues d’activités d’organisations européennes ou de résidents européens. Toute organisation manipulant des données personnelles est affectée par la GDPR.
Il faut savoir que toute information est considérée comme donnée personnelle dès lors qu’elle concerne un individu, qu’elle soit publique ou privée.
Le non-respect d’un article du règlement peut entraîner une amende allant jusqu’à 4% du chiffre d’affaires mondial annuel ou d’un montant maximal de 20 millions d’euros
Comment se mettre en conformité ?
Concernant les individus sujets à un traitement de données, une organisation est tenue de respecter cinq points :
Droit à l’effacement
Un individu a le droit d’obtenir d’une organisation l’effacement de données personnelles le concernant dont elle est responsable.
Droit à la portabilité
Un individu a le droit d’obtenir d’une organisation des données personnelles le concernant dont elle est responsable, dans un format clair et lisible. Un individu a le droit de transmettre et/ou de demander la transmission de ces mêmes données à un organisme tiers.
Consentement
Un traitement de données personnelles doit être consenti par l’individu qui en constitue l’objet.
Répercussions d’un traitement automatisé sur un individu
Aucun traitement de données automatisé (exemple : profiling d’un individu pour analyser ses performances de travail) ne peut constituer une base de décision pouvant affecter (exemple : licenciement) un individu.
Accessibilité
Les informations relatives au traitement des données doivent être transparentes et accessibles (en libre accès ou facilement sur demande).
Concernant l’organisation qui traite les données:
Avant traitement
Acquisition et stockage
Le traitement des données doit être transparent (quelles informations sont collectées et à quelles fins) et justifié (nécessaire à l’activité donnant lieu au traitement). La durée de rétention des données doit être limitée au strict nécessaire.
Protection des données par design
Toute organisation doit assurer un standard de protection des données dès la phase de conception de tout produit, service ou système impliquant un traitement de données à caractère personnel. Trois possibilités :
- chiffrage
- pseudonymisation : remplacer des informations sensibles (informations personnelles identifiables : nom, adresse, donnée génétique, etc.) par des informations moins explicites (exemple : clé d’identification)
- anonymisation : impossibilité de relier un individu à une donnée
Protection des données par défaut
Toute organisation doit disposer d’un système d’information sécurisé qui assure la confidentialité de ses utilisateurs (gestion des droits, accès…).
Étude d’impact
Une étude d’impact sur la vie privée doit être effectuée avant la mise en place de toute activité qui puisse avoir un impact négatif sur la protection des données, incluant la prévision de mesures préventives minimisant les risques identifiés.
Pendant et après traitement
Fuite de données
Toute fuite de données doit être signalée dès que possible à l’autorité nationale de protection adéquate.
Délégué à la protection des données
Un délégué à la protection des données doit être nominé dans toute organisation dont les activités incluent des traitements de données qui exigent un suivi régulier et systématique. Le délégué doit être impliqué dans toute activité relative à la protection des données. Son rôle est de contrôler le respect du règlement, de conseiller le responsable des traitements et de faire le lien avec l’autorité de contrôle et les citoyens qui souhaitent exercer leurs droits.
Pour une organisation internationale
Une organisation internationale doit uniquement rendre compte de ses activités à l’autorité nationale de protection des données du pays d’origine de son siège social.
Ressources complémentaires
Pour vous aider à la mise en conformité de votre entreprise, la CNIL propose un guide pas-à-pas intuitif sur son site web : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
La régulation complète adoptée au Parlement européen : http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf?lipi=urn%3Ali%3Apage%3Ad_flagship3_pulse_read%3Bj0jH6L1wTCeQUzIayrnaJw%3D%3D
Sources
Règlement général sur la protection des données – Wikipédia : https://fr.wikipedia.org/wiki/R%C3%A8glement_g%C3%A9n%C3%A9ral_sur_la_protection_des_donn%C3%A9es
The general data protection regulation – Conseil de l’Union Européenne : http://www.consilium.europa.eu/fr/policies/data-protection-reform/data-protection-regulation/
An idiot’s guide to GDPR – Sinitta Stuart : https://www.linkedin.com/pulse/idiots-guide-gdpr-sinitta-stuart
GDPR : que dit le nouveau règlement européen sur les données européennes – Les Échos : https://www.lesechos.fr/idees-debats/cercle/cercle-147684-la-gdpr-au-dela-des-obligations-une-opportunite-pour-les-entreprises-1196000.php
Salesforce GDPR compliance information – Salesforce : https://www.salesforce.com/campaign/gdpr/
Document officiel de la confédération: https://www.edoeb.admin.ch/dam/edoeb/fr/dokumente/2017/VODSG%20EU.pdf.download.pdf/Le%20RGPD%20et%20ses%20cons%C3%A9quences%20sur%20la%20Suisse_FR.pdf
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!