Titre

Le GDPR, ou règlement général sur la protection des données, est entré en vigueur en mai 2018. La législation sur les technologies de l'information est l'une des plus strictes au monde en matière de protection de la vie privée et de sécurité. L'informatique est conçue pour protéger la vie privée des citoyens de l'UE (Union européenne) et les données des clients. 

Toute entreprise qui collecte des données sur des citoyens de l'UE est tenue de se conformer au GDPR, même si elle n'est pas directement présente dans l'UE. 

Les entreprises sont tenues de se conformer au GDPR pour éviter de lourdes amendes. Le GDPR est l'une des lois les plus complètes en matière de protection des données. Elle est conçue pour donner aux particuliers plus de contrôle sur leurs données à caractère personnel et pour favoriser un niveau de confiance plus élevé entre les entreprises et le public en ce qui concerne la sécurité des données et la protection de la vie privée.

Qu’est-ce que le RGPD ?

En avril 2016, le Parlement européen a adopté le GDPR pour remplacer la directive sur la protection des données de 1995, devenue obsolète. Les entreprises devaient être en conformité avec le GDPR avant le 25 mai 2018. 

Le GDPR permet aux consommateurs de mieux contrôler qui voit leurs données et comment elles sont collectées. Toute donnée collectée sur un citoyen européen dans l'un des 28 États membres de l'UE doit être protégée et sécurisée. Toutes les transactions effectuées au sein de l'UE sont régies par le GDPR. 

Le GDPR stipule que les entreprises doivent fournir un niveau "raisonnable" de protection des données à caractère personnel et adopte une vision large de ce qui constitue une information d'identification personnelle. Ce texte fixe un niveau très élevé ( standard ) en ce qui concerne la protection des données à caractère personnel et les droits des consommateurs ; toutefois, les technologies de l'information obligent également les entreprises à redoubler d'efforts pour mettre en place des processus et des systèmes afin de rester en conformité avec la législation.

Pourquoi le GDPR a-t-il été créé ?

Le GDPR est une réponse aux préoccupations du public concernant la confidentialité des données et le contrôle de la manière dont les entreprises stockent ces informations, ainsi que la sécurité des technologies de l'information face à des acteurs potentiels malveillants. Plus de la moitié des Européens craignent que des cybercriminels accèdent à leurs données à caractère personnel, tandis qu'un peu moins de la moitié d'entre eux ne veulent pas partager leurs données à caractère personnel avec des entreprises privées. 

Le GDPR vise à créer un niveau de confiance plus élevé entre le public et les entreprises qui stockent des données à caractère personnel. Les réglementations plus strictes et les règles concernant la manière dont ces données sont stockées et utilisées visent à protéger les consommateurs. 

L'internet est aujourd'hui très différent de ce qu'il était en 1995, lorsque les premières directives sur la protection des données ont été rédigées. Les gens mettent de plus en plus leur vie personnelle et leurs données en ligne, et attendent des entreprises qu'elles travaillent dur pour assurer leur sécurité et celle des technologies de l'information. 

Les consommateurs blâmeront souvent l'entreprise en cas de brèche de données. Elle a été créée pour aider à protéger les actifs numériques des consommateurs tout en obligeant les entreprises à respecter des normes et des pratiques plus strictes.

Qui est concerné par le GDPR ?

Toute entreprise qui traite des données à caractère personnel de citoyens de l'UE dans un État membre de l'UE, qui offre des biens ou des services à des citoyens de l'UE ou qui surveille les comportements d'individus au sein de l'UE est tenue de se conformer au GDPR. Le GDPR s'applique également aux entreprises qui n'ont pas de présence physique dans l'UE mais qui offrent des services ou des biens aux membres de l'UE (payants ou gratuits) et à celles qui stockent des informations personnelles sur les citoyens de l'UE.

Le GDPR s'applique à :

• Toute entreprise ayant une présence ou une succursale physique dans un pays membre de l'UE.
• Les entreprises qui fournissent des services aux particuliers au sein de l'UE et celles qui traitent les données à caractère personnel des résidents des pays membres de l'UE.
• Les entreprises qui comptent plus de 250 employés.
• Les petites entreprises de moins de 250 employés qui traitent des données à caractère personnel. 

Il s'agit de quelques-uns des secteurs les plus touchés par le GDPR :

• Médias sociaux 
• Détaillants en ligne
• Soins médicaux et de santé
• Services financiers et banque en ligne
• Services à distance et informatique en nuage

Qui gère la conformité au GDPR ?

Pour rester en conformité avec le GDPR, les entreprises doivent disposer d'un responsable du traitement, d'un sous-traitant des données et d'un délégué à la protection des données (DPO). Le responsable du traitement détermine comment les données à caractère personnel sont traitées et dans quel but, et s'assure de la conformité du prestataire extérieur. 

Les responsables du traitement des données traitent et conservent les données à caractère personnel, soit en tant que groupe interne, soit en tant que sous-traitant. Ce sont les entités qui seront tenues pour responsables en cas de brèche de données ou de non-respect du GDPR. Le responsable du traitement des données et le sous-traitant doivent également désigner un DPD pour superviser la conformité au GDPR. 

Le DPD sera chargé de superviser la stratégie de protection des données de l'entreprise, de mettre en œuvre une politique visant à garantir la conformité au GDPR, de former et d'éduquer les employés à la conformité, de contrôler les opérations de transfert et de stockage des données et de servir de point de contact avec l'autorité de contrôle GDPR. Les entreprises peuvent recruter un DPD auprès d'une source extérieure ou d'une autre organisation pour maintenir la conformité au GDPR.

Une entreprise doit engager un DPD pour assurer la conformité au GDPR dans les cas suivants :

• Les organisations sont des autorités publiques
• L'entreprise est impliquée dans le contrôle systématique et à grande échelle des données personnelles des utilisateurs.
• Les organisations traitent de grandes quantités de données personnelles d'utilisateurs

Comment le GDPR affecte-t-il les contrats avec les clients et les tiers ?

Il existe un formulaire de "conformité en aval" exigé par le GDPR. Cela signifie que les entreprises tierces utilisées pour traiter les données doivent également se conformer à la politique du GDPR. Même si une entreprise collecte des données de manière correcte, conformément au GDPR, mais que l'entreprise utilisée pour traiter ces données est externalisée et non conforme, les organisations d'origine seront toujours tenues pour responsables. 

Le sous-traitant des données et le responsable du traitement d'une entreprise sont chargés de veiller à ce que toutes les entreprises tierces, les services d'externalisation, les prestataires et les fournisseurs de services restent conformes au GDPR, sous peine d'être considérés comme en infraction et de se voir infliger des amendes massives. Tous les contrats et les interactions avec des tiers doivent également respecter les règles du GDPR.

Les contrats avec les clients et les tiers doivent être clairement définis, et les entreprises devront savoir exactement comment les fournisseurs traitent et stockent les informations. 

Le flux de données doit être protégé et bien compris par toutes les parties concernées. Cela implique de savoir exactement quel type de données est collecté, comment les technologies de l'information sont traitées et comment elles se déplacent. Il se peut que les contrats doivent être renégociés pour adhérer aux réglementations et aux exigences du GDPR. 

Exigences en matière de confidentialité des données

Le règlement GDPR donne plus de contrôle aux consommateurs sur la collecte et le stockage des données à caractère personnel. Il s'agit notamment des éléments suivants :

• Les consommateurs ont le droit de consentir à la collecte de données et de savoir quelles données sont collectées.
• Les personnes ont le droit de demander aux entreprises de cesser de traiter leurs données, d'en restreindre l'utilisation ou de s'opposer à la manière dont les technologies de l'information sont utilisées.
• Les utilisateurs ont le droit de supprimer ou d'effacer toutes leurs données.
• Les utilisateurs ont le droit d'accéder à leurs données.
• L'utilisateur doit pouvoir transférer des données d'un fournisseur de services à un autre.
• La politique de confidentialité doit être clairement exposée dans un langage simple.
• L'utilisateur doit être informé d'une brèche de données dans les 72 heures suivant son apparition.
• L'utilisateur a le droit de demander la mise à jour, la correction ou l'achèvement des données à caractère personnel.

Le consentement de l'utilisateur ne peut plus être implicite. Cela signifie qu'un utilisateur doit donner son consentement explicite pour que les entreprises collectent, stockent et traitent ses données, en utilisant un format "opt-in" au lieu d'un format "opt-out". Les utilisateurs ont le droit de poser des questions et de faire appel de la manière dont les entreprises utilisent leurs données.

Le GDPR protège les "données à caractère personnel" des consommateurs, qui comprennent les éléments suivants :

• Nom, adresse, numéros d'identification, adresse électronique et informations d'identification de base
• Données biométriques
• Données web, telles que l'adresse IP, les étiquettes RFID, les données des cookies et la localisation.
• Orientation sexuelle
• Données raciales et/ou ethniques
• Données génétiques et de santé
• Opinions politiques
• Tout type d'information relative à une personne identifiable ou à une personne vivante identifiée

La catégorie de données à caractère personnel "identité de base" est large et peut s'appliquer à tout type de données générées par l'utilisateur. Cela concerne les messages sur les médias sociaux, tout ce qui est personnel téléchargé sur les sites web et tout formulaire d'informations personnelles transmis en ligne.

Ressources supplémentaires

La conformité au GDPR exige que tous les fournisseurs de services et les tiers restent en conformité avec la réglementation. L'UE fournit une liste de services conformes au GDPR pour les entreprises qui respectent déjà cette réglementation, et qui peuvent être utilisés pour éviter les sanctions réglementaires.

Les entreprises américaines qui ont une activité ou une présence quelconque dans l'Union européenne sont tenues de se conformer au GDPR. Cette tâche incombe généralement au responsable du traitement et au sous-traitant. Une liste de contrôle GDPR pour le responsable du traitement peut aider à garantir que l'organisation vérifie toutes les cases correctes et nécessaires pour rester conforme.

Il existe également un certain nombre de fournisseurs et d'organisations qui proposent des audits de conformité au GDPR. Ils peuvent fournir des services, en veillant à ce que les organisations en question soient conformes au GDPR. Bien que ces services soient payants, ils peuvent permettre à l'entreprise d'économiser de l'argent en cas d'amendes élevées pour non-conformité.

Références

Qu'est-ce que le GDPR, la nouvelle loi européenne sur la protection des données ? (2022). Proton Technologies AG.

Dans quelle mesure les Européens sont-ils préoccupés par leurs données à caractère personnel en ligne ? (juin 2020), Agence des droits fondamentaux de l'Union européenne.

À qui s'applique la loi sur la protection des données ? Commission européenne.

L'impact du GDPR sur les entreprises et ce à quoi on peut s'attendre en 2020. (février 2020). Business News Daily.

Services conformes au GDPR pour les entreprises. (2022). Proton Technologies AG.

Liste de contrôle GDPR pour le responsable du traitement. (2022). Proton Technologies AG.