Catégories
Actualités Bonnes pratiques | Tips Sécurité informatique

[Dossier] GDPR : Tout savoir sur le nouveau règlement européen (et comment s’y préparer)

GDPR… Ce sigle est de plus en plus présent ces derniers temps. Mais que se cache-t-il derrière ces quatre lettres ?

Le “General Data Protection Regulation” (Règlement Général sur la Protection des Données pour les francophiles, ndlr.) est le nouveau règlement européen de protection des données personnelles ; véritable texte de référence qui vient renforcer et unifier la protection des données à caractère personnel pour les habitants de l’Union Européenne.  

Adopté courant 2016 (le 14 avril plus précisément, ndlr.) par le Parlement européen, son entrée en vigueur aura lieu le 25 mai 2018.

Un peu plus d’un an donc, pour se conformer aux nouvelles directives qui en découlent. Un délai assez court quand on prend en considération tous les changements que ce règlement implique.  

Pour vous aider à y voir plus clair, OM Conseil vous propose un dossier le plus complet possible sur ce règlement qui changera à terme, pour le meilleur, votre manière de gérer les données.

Des périmètres d’actions larges

Commençons par établir un premier périmètre : le GDPR vise les données à caractère personnel ; c’est-à-dire celles permettant d’identifier de manière directe ou indirecte une personne en particulier : noms, adresses, numéro de téléphone, numéro de compte, adresse e-mail, identifiants de connexion, adresse IP, cookies,…

Premiers métiers à être concernés par ce nouveau texte : le Marketing et les Ressources Humaines. En effet, ce sont eux qui gèrent les points d’entrée de ces données, les traitent et engagent les prospects et les clients au nom de l’entreprise.

Ce qui nous amène à l’établissement d’un second périmètre : les acteurs concernés par ce règlement. 

Globalement, il impactera toutes les entreprises collectant, gérant ou stockant des données personnelles, quelque soit leur secteur d’activité. Tout le monde est finalement concerné puisque le GDPR touche à toutes les données personnelles ; il ne s’adresse donc pas qu’aux clients particuliers, mais également aux salariés. 

Bien évidemment, le GDPR est applicable à tous les Etats membres de l’Union Européenne, mais il ne s’arrête pas là ! Il concerne également les entreprises étrangères, si elles sont amenées à gérer des données appartenant à un pays de l’UE.

Remarque : Actuellement, chaque pays bénéficie de sa propre autorité de protection des données. Mais le GDPR va changer cette situation car il s’agit d’un règlement (et non d’une directive) qui s’appliquera donc à l’ensemble des pays membres de l’Union Européenne (sans pour autant que ces pays aient besoin de changer leur législation nationale).    

Quels sont les objectifs du GDPR ?

Le règlement vise à simplifier et harmoniser la sécurité des données liées aux pays membres de l’Union Européenne. Il cherche à faire face aux mutations des marchés mondiaux – en particulier pour la préservation des données sur les réseaux sociaux ou dans le secteur du Cloud Computing – et veut renforcer et unifier la protection de ces données au sein de l’UE. Le texte (ré)introduit les notions de transfert de fichiers sécurisés et de droit à l’oubli (qui doit rendre possible la suppression rapide de toutes les données personnelles).

Le GDPR est une évolution de la législation actuellement en vigueur au sein de l’UE sur les données, formalisée par la Directive sur la Protection des Données personnelles (DPD), qui fut adoptée en 1995 ; il vient combler des lacunes de cette directive (et vu les changements de notre utilisation des données, il était temps !).

Pour ce faire, il exige de nombreux changements de la part des acteurs impliqués dans leur traitement et leur stockage. Ces derniers devront définir et appliquer des codes de conduite pour se conformer au règlement, comme l’indique l’article 40 : “l’existence de codes de conduite peut servir d’élément attestant du respect des obligations incombant au responsable du traitement” ; ainsi que l’article 42 qui les poussent à réfléchir à la création de mécanismes de certifications approuvées (ex : ISO).

Le GDPR veut clarifier les responsabilités de chaque entreprise étant en contact avec des données personnelles, facilitant ainsi leur mise en conformité.

La CNIL a proposé une lecture simplifiée du texte, résumé en trois objectifs :

  • le renforcement des droits des personnes ;
  • la responsabilisation des acteurs traitant les données (collecteurs et hébergeurs) ;
  • la crédibilisation de cette régulation grâce au déploiement du GDPR dans tous les Etats membres de l’Union Européenne.

GDPR et “Privacy by Design”

En cherchant à minimiser la collecte des informations à caractère personnel, à pousser les entreprises à supprimer les éléments n’étant plus utiles, et à restreindre les accès aux données personnelles – tout en les sécurisant durant leur cycle de vie -, le GDPR reprend la philosophie du  “Privacy by Design” (terme américain signifiant la prise en compte du respect de la vie privée dès la conception d’un système). De fait, les nouvelles technologies ayant pour but de traiter des données à caractère personnel, ou permettant de traiter ces dernières, sont dans l’obligation de garantir, et ce dès leur conception et lors de chaque utilisation, un niveau de sécurité optimal pour ces informations sensibles. 

Cela montre la volonté de ce texte à apporter une réponse adaptée face à l’importante augmentation des moyens de traiter et stocker les données personnelles (dont le volume augmente de manière exponentielle), ainsi qu’à la volatilité de ces mêmes données (et donc à la multiplication du risque de violation de sécurité dont elles peuvent être victimes).

De nombreux changements à prendre en compte

Conséquence directe de ce nouveau règlement européen : la nécessité de mettre en place de nouvelles règles pour le stockage des données personnelles, leur traçabilité et la sécurisation du système d’information. Les entreprises, européennes ou non, devront donc toutes repenser la manière dont elles les collectent, traitent et stockent. Elles devront également se plier aux nouvelles obligations qu’apporte le GDPR :

  • l’obligation pour les entreprises de mettre à disposition des internautes dont les données personnelles seraient stockées, un texte explicatif clair, abordant la politique de sécurisation de leurs données propre à l’organisation ;
  • l’obligation pour ces mêmes entreprises d’être en capacité de fournir aux internautes toutes leurs données personnelles, et ce dans un format simple, et facilement transférable via Internet ;
  • le respect de la vie privée, dans l’esprit du “Privacy Design”. Les principes de minimisation de la collecte et de la rétention des données, et l’obligation d’accord des personnes concernées pour tout traitement de ces données devront donc être formalisés de manière plus explicite ;
  • les entreprises seront obligées d’analyser les risques d’atteinte à la vie privée des personnes concernées dans le cas où leur données devront être traitées ;
  • le renforcement du droit à l’effacement et à l’oubli (par rapport à la DPD), permettant ainsi à tout internaute de demander la suppression des données à caractère personnel le concernant. Ces droits recouvrent désormais toutes les données publiées sur Internet ;
  • le principe d’extraterritorialité qui rend toutes les obligations du GDPR applicables même aux entreprises n’étant pas physiquement présentes au sein de l’Union Européenne, mais collectant, traitant et/ou stockant des données personnelles relatives à des citoyens européens ;
  • la notification en cas d’atteinte aux données : dans le cas d’une violation de sécurité des données, les entreprises seront dans l’obligation d’en notifier l’autorité de contrôle, dans un délai de 72h à compter de la détection de cette violation. Elle devra également être signalée à la personne concernée ; seulement si cette violation de sécurité engendre “un risque élevé pour ses droits et libertés”.   

Des manquements qui peuvent coûter cher

Pour les entreprises ne respectant pas ces nouvelles mesures, des sanctions financières graduées ont été prévues par le GDPR (article 83 et 84) :

  • pour les infractions les plus graves, une amende pouvant représenter jusqu’à 4% du chiffre d’affaires global de l’organisation est prévue – il s’agit des manquements liés aux principes fondamentaux du GDPR, comme la violation des principes de base de la sécurité des données (article 5) et des conditions de consentement des consommateurs (article 7) ;
  • une amende plafonnée à 2% du chiffre d’affaires global pour les entreprises n’ayant pas effectué convenablement la tenue des enregistrements (article 28), n’ayant pas notifié l’autorité de contrôle et la personne concernée à propos d’une violation (articles 31 et 32) ou n’ayant pas réalisé d’évaluations d’impact (article 33).

—————————————————-

Le nouveau règlement européen apporte donc son lot de changements que les entreprises (européennes ou non) devront suivre à la lettre pour être conformes aux nouvelles obligations, et ainsi mieux protéger et gérer leurs données à caractère personnel. Cela leur permettra également d’éviter les sanctions prévues par le GDPR, et qui seront effectives dès l’année prochaine.

Mais comment faire pour s’y préparer ? Quelles sont les étapes à suivre pour entrer en conformité avec les nouvelles mesures instaurées par ce règlement ?

Pour découvrir les réponses à ces questions, retrouvez la suite de notre dossier sur le GDPR la semaine prochaine !