Êtes-vous prêt pour les nouvelles réglementations sur la protection des données européennes ?

Le 25 mai 2018, l’UE introduira de nouvelle Réglementations en matière de protection des données générales. Les états membres de l’UE ne seront pas les seuls qui devront s’y soumettre – toutes les entreprises du monde détenant des données de citoyens européens sous format électronique devront connaître les nouvelles règles et s’y conformer.

Qu’est-ce que le GDPR ?

GDPR est l’acronyme anglais de General Data Protection Régulation, qui signifie « règlement général sur la protection des données ». Le GDPR est une tentative d'harmonisation des règles et d'amélioration de la protection et de la sécurité des données des citoyens de l’Union Européenne.

Quand entre-t-il en vigueur ?

Le GDPR entrera en vigueur le 25 mai 2018.

Qu’est-ce que le GDPR ?

Le consentement doit être explicite. Les citoyens seront en mesure de poser des questions délicates sur ce qu’il advient des données détenues les concernant. Cela s'applique aux « contrôleurs de données » (organismes recueillant des données personnes, tels que les magasins, les chercheurs ou les agences du secteur public) et les « traiteurs de données » (les organismes traitant les données pour le compte des contrôleurs de données, tels que les prestataires de services en nuage, par exemple).

Les systèmes devront être retravaillés. Les organisations devront montrer qu’elles ont intégré la confidentialité des données dans leurs flux de travail et procédés, en cryptant les informations d’identification lors de leur saisie dans un système par exemple. Cette approche est parfois désignée sous le nom de « respect de la vie privée dès la conception ».

Toute violation devra être divulguée. Les contrôleurs de données sous le coup d’une violation des données personnelles devront la signaler immédiatement et seront également tenus d’en informer les personnes affectées.

L’effacement devient un droit universel. Ce que l’on désigne parfois sous le nom de « droit à l’oubli » permet aux personnes de demander la suppression de toutes les données personnelles les concernant.

À qui ce règlement s'applique-t-il ?

Le GDPR est conçu pour protéger les citoyens de l’Union Européenne. Ainsi, toutes les sociétés qui manipulent des données de citoyens de l’Union Européenne devront en avoir conscience et s'y conformer. Si vous ou une tierce partie que vous autorisez à traiter des données pour votre compte ne vous y conformez pas, des amendes conséquentes seront applicables. Celles-ci pourraient atteindre jusqu’à 20 millions d’€, ou 4 % de votre chiffre d'affaire international, le chiffre le plus élevé étant retenu. À cela viendront s'ajouter les dommages et intérêts pour le préjudice subi.

Que fait l’IPAF pour entrer en conformité avant la date-butoir ?

Nous travaillons avec Caldew Consulting entre autres experts externes afin de répondre aux nouveaux règlements avant leur entrée en vigueur. Nous préparons une évaluation et un rapport sur notre niveau de préparation au GDPR. Nous entreprenons une cartographique complète des données et une évaluation exhaustive de l’impact sur la confidentialité des données. Nous préparons également un nouveau cadre de conformité en matière de confidentialité.

Mon entreprise devrait-elle déjà répondre au GDPR ?

Il n’est pas recommandé d'attendre et de voir ce qui se produira car les pénalités infligées en cas de non-conformité seront très élevées, tant en termes d'amendes que d'atteinte à la réputation. L’IPAF recommande fortement à toutes les sociétés membres de se mettre en conformité avant la date-butoir et, au besoin, de consulter un spécialiste de la protection des données pour vérifier qu’elles sont prêtes pour les changements à venir.