Le 14 avril 2016, le Parlement européen a adopté le projet GDPR relatif à la protection des données personnelles. Celui-ci comporte un règlement et une directive qui sont appelés à faire évoluer sensiblement le droit des données personnelles des Etats membres de l’Union européenne à partir du printemps 2018. On en parlera lors du prochain Meetup de Strasbourg Startups.

Le GDPR, ou General Data Protection Regulation, est le nouveau règlement européen qui s’appliquera dès 2018 à toute entreprise qui « collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement, via un tiers, identifier une personne ». Il repose sur le droit fondamental inaliénable que constitue, pour chaque citoyen, la protection de sa vie privée et de ses données personnelles. Focus sur quelques points majeurs :

Des droits renforcés

Ce règlement s’applique aux entreprises mais également aux associations,  aux administrations, aux collectivités locales et aux syndicats.

Le projet intègre des nouveauté, tel que le « droit à la portabilité des données ». Tout consommateur pourra désormais récupérer les données qu’il a fournies à une entreprise pour les réutiliser ou les transmettre à un tiers, en cas de changement de fournisseur de services par exemple. La législation exige « un accord explicite et sans ambiguïté du citoyen en amont pour le traitement de ses données personnelles ». Les entreprises devront de même être transparentes sur l’utilisation de celles-ci.

Les autres nouveautés concernent le droit pour le client d’être informé en cas de violation de ses données personnelles ainsi que le droit à l’effacement ou fameux « droit à l’oubli ».

« Ce droit permet à un individu de demander le retrait de certaines informations qui pourraient lui nuire sur des actions qu’il a faites dans le passé. Le droit à l’oubli s’applique concrètement soit par le retrait de l’information sur le site d’origine, on parle alors du droit à l’effacement, soit par un déréférencement du site par les moteurs de recherches, on parle alors du droit au déréférencement. »

Par ailleurs, les consommateurs victimes d’une violation de leurs données auront le droit d’obtenir du responsable du traitement ou du sous-traitant une « réparation du préjudice subi » en cas de dommage matériel ou moral.

L’impact sur les entreprises

Pour les entreprises, l’adaptation probable de leurs outils actuels nécessitera quelques investissements. Car le règlement oblige la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Cela suppose que l’entreprise se prépare à des cyber-attaques, et se prépare au mieux à les anticiper. Ce processus de préparation doit être minutieux et planifié, avec une véritable évaluation et une cartographie des données et une analyse des incidents de sécurité.

L’entreprise devra également veiller à se protéger contre ces attaques, ce qui implique bien entendu la mise en place et la mise à jour de technologies de protection, mais également une véritable formation, continue et renouvelée, des personnels impliqués. Enfin, les responsables du traitement ne seront plus les seuls à être concernés par ces nouvelles règles. La législation européenne dédie aussi ces obligations aux sous-traitants.

L’entreprise devra documenter toutes les mesures et procédures utiles pour assurer à tout moment cette protection. Elle ne pourra transférer en dehors de l’Union Européenne ces données que selon un cadre strictement défini. Enfin, à tout moment, elle devra pouvoir prouver aux autorités compétentes que tout est bien mis en œuvre pour répondre à ces obligations.

Des sanctions sont prévues pour les entreprises qui ne respectent pas cette législation. Celles-ci peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros.

En conclusion

Le GDPR vient ici simplifier et  harmoniser la gestion des données dans les différents pays de l’Union Européenne. L’objectif est d’optimiser la transparence et donc la confiance dans le monde numérique. « Et ce facteur confiance est un élément décisif dans le développement des activités en ligne, tout autant, voire plus que la qualité d’un produit ou d’un service, ou que son service client. »

En France, c’est la CNIL qui sera garant de cette réglementairement.

Pour en savoir plus, rendez-vous au prochain Meetup de Strasbourg Startups, le mardi 23 mai prochain.

 

Project Details

Visit Us On FacebookVisit Us On TwitterVisit Us On Youtube