Le GDPR c’est quoi ? Le GDPR est l’acronyme de :
« General Data Protection Regulation » ou en français Règlement Général sur la Protection des Données
Il s’agit tout simplement de la nouvelle loi Européenne qui régie la protection des données personnelles des résidents Européens.
Le timing ?
Ce nouveau texte de référence est officiellement une loi depuis avril 2016 mais l'application de celle-ci sera le 25 mai 2018, autant dire demain !
Ces 2 années de « battement » ont été mises en place afin que les organisations impactées puissent se mettre en conformité. Les organisations concernées ne doivent pas s’attendre à une période de grâce : ça ne sera pas le cas (certains régulateurs ont déjà annoncé qu’il n’y aurait aucune exception). Au vu du chantier que cela représente, les organisations doivent initier le projet de conformité dès maintenant !
Qui est impacté par le GDRP ?
On pourrait se dire que seuls les géants du monde informatique sont touchés par cette nouvelle loi, et bien pas du tout.
TOUTES les organisations quel que soit leurs domaines ou leurs tailles sont concernées dès lors qu’elles manipulent des données personnelles. Nous vivons aujourd’hui dans un monde connecté et digital donc disons que toutes les entreprises, associations ou encore organismes publiques qui interagissent avec un citoyen Européen (employé de l’organisation ou client) sont concernés. A noter que je fais bien référence aux organisations manipulant des données de résidents européens, cela veut dire qu’une entreprise étrangère est également concernée dès lors que la donnée personnelle est celle d'une personne vivant sur le sol européen !
Quel est le but du GDPR ?
Protéger les libertés et les droits fondamentaux des citoyens en particulier la protection de leur information personnelle.
Les données personnelles sont toutes les données qui permettent d’identifier directement (nom, prénom, etc…) ou même indirectement (adresse postale, adresse IP, génétique, etc…) une personne. Vous l'aurez compris le scope est donc très large…
Quelles sont les grandes lignes du GDPR ?
- Transparence : Les organisations devront être transparentes dans la gestion et l’utilisation des données personnelles. Elles doivent être claires sur la façon dont elles traitent et utilisent les données.
- Limitation de traitement : Les données personnelles devront être traitées à des fins précises et légitimes. Il sera par ailleurs interdit de les réutiliser ou de les divulguer pour des applications autres que celles prévues initialement lors de leurs collectes.
- Volume et durée restreinte : Les organisations devront s’assurer que seules les données nécessaires seront conservées et uniquement pendant la durée nécessaire à l’objectif initial.
- Assurer l’exactitude des données personnelles : Les organisations devront permettre la correction et la suppression des données collectées. Elles devront également s’assurer que les informations détenues sont correctes.
Assurer la sécurité, l’intégrité et la confidentialité : Des mesures devront être prises par les organisations pour sécuriser les données stockées. - Obligation de notification : Les organisations auront l’obligation de reporter toutes violations de données personnelles sous 72h.
Quelles sont les sanctions ?
En cas de non-conformité ou de non-respect, l’organisation incriminée devra payer une amende égale à 4% du chiffre d’affaires annuel MONDIAL ou bien 20 Millions d’euros. Il s’agira du montant le plus important.
Cette loi est donc à prendre au sérieux, et nous vous encouragons vivement à travailler rapidement sur une mise en conformité : contactez nous au + 33 6 82 40 22 28