Tout le monde en a entendu parler, mais nous sommes nombreux à nous poser la question : suis-je directement concerné ? Résumé en quelques mots de ce règlement qui va faire couler beaucoup d’encre dans l’année qui vient.

GDPR : qu’est-ce que c’est ?

Le GDPR (General Data Protection Regulation) ou RGPD en français (Règlement Général sur la Protection des Données) est un texte qui redéfinit le régime de protection des données personnelles en Europe, le but étant de protéger les personnes physiques de toute exploitation frauduleuse ou non désirée des informations relatives à leur vie privée, professionnelle ou publique.

Ce règlement a été adopté le 14 avril 2016 par l’Union Européenne et sera applicable dès le 25 mai 2018 en France. Ce qui ne nous laisse qu’un an pour nous adapter à ses nombreuses exigences !

Qu’entend-on par « données personnelles » ?

Ce sont toutes les informations relatives à une personne, qu’elles se rapportent à sa vie privée, professionnelle ou publique : Un nom, une adresse e-mail, un identifiant, une photo, une adresse IP… Tout ce qui permet de relier une information à une personne physique.

Quelles entreprises sont concernées ?

Potentiellement toutes les entreprises stockant ou traitant des données personnelles aux travers de bases de données. Autant dire toutes les organisations ! Finie l’époque où les seuls opérateurs étaient concernés par la sécurité et la confidentialité des données de leurs clients…

Quelles obligations pour les entreprises ?

Sans être exhaustif, voici quelques uns des commandements du GDPR :

• Le droit à l’oubli numérique (la personne concernée doit pouvoir « disparaître » définitivement d’une base de données)
• le consentement clair et explicite de la personne concernant l’utilisation qui sera faite de ses données.
• droit de transférer ses données personnelles vers un autre opérateur
• droit d’être informé, en cas de piratage des données personnelles, sous 24 heures : les logs du piratage devront pouvoir être présentés sur simple demande.
• Un responsable de la donnée personnelle doit être nommé dans chaque entreprise : il doit pouvoir être contacté par la CNIL ou toute autorité de contrôle. Il veille à ce que le traitement des données soit effectué par l’entreprise elle-même ou pour son propre compte.

Que faire pour répondre aux exigences du GDPR ?

La protection des données personnelles de vos clients et prospects passe évidemment par une sécurité renforcée de votre système d’information. Le chiffrement des données, par exemple, permet d’éviter les risques liés à la fuite ou l’interception de données.

Et si mes données sont hébergées ?

Dans le cas où les données personnelles en votre possession sont stockées sur un cloud, il convient d’observer certaines règle qui garantiront la traçabilité et la confidentialité des données :

• Hébergeur tiers : il faut pouvoir le contraindre à fournir des logs en cas d’incident et s’assurer de son respect des contraintes du GDPR
• Choix de l’hébergeur : le choisir en France ou en Europe (Royaume Uni déconseillé car bientôt en dehors de l’U.E.)

Quelles sont les sanctions ?

Le règlement prévoit des amendes de 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel, ainsi qu’une indemnisation des personnes concernées par un mauvais traitement de leurs données personnelles. De quoi prendre très au sérieux l’application de ce règlement d’ici le 18 mai 2018…

Pour en savoir plus :

Le site de la CNIL : https://www.cnil.fr/fr/consultation-reglement-europeen