La GDPR : tout savoir sur la protection des données personnelles en Europe

On en parle depuis 2016, la Commission Européenne a approuvé une nouvelle réglementation* sur la protection des données à caractère personnel, la GDPR, qui entrera en vigueur le 25 mai 2018.

Qui est concerné ?

Cette réglementation s’applique à toute entreprise ou organisme qui collecte et gère une base de données contenant des informations personnelles. Autrement dit : toute information qui permet d’identifier quelqu’un. On pense bien sûr aux bases de données clients, qui sont aujourd’hui largement collectées et utilisées notamment à des fins commerciales ou de marketing : adresse mail, numéros de téléphone ou de compte bancaire, nom et prénom mais également adresse IP, profil, données de localisation et autres cookies sont concernés. Mais pas que ! À cela, il faut ajouter les bases de données des salariés d’une entreprise, gérées par les services de Ressources Humaines. En fait, cela touche toutes les données individuelles susceptibles d’être utilisées dans le cadre d’une offre de biens ou services.

Cela concerne donc toutes les entreprises européennes qui traitent de données liées à l’offre de biens et services, payants ou gratuits, à des personnes ou à d’autres entreprises, organismes ou sous-traitants issus d’un pays de l’Union Européenne. Cela inclut les entreprises et organismes européens mais également celles qui se trouvent en dehors de l’Europe mais qui traitent des données de citoyens européens.

Quel est le but ?

Pour l’Europe, le but est d’unifier et de renforcer la politique de protection de ses citoyens. Jusqu’ici, chaque pays avait sa propre loi sur le traitement des données. La version européenne cherche non seulement à harmoniser la position des pays européens, mais aussi à combler les faiblesses des précédents règlements. Les trois objectifs directs sont :

1. Renforcer le droit des personnes ;
2. Responsabiliser les instances qui collectent et/ou traitent ces données ;
3. Et ce de manière forte et uniforme.

A l’ère du big data et des réseaux sociaux, l’objectif est donc de protéger et de redonner aux citoyens européens le contrôle de leur données personnelles.

Est-ce une bonne nouvelle ?

Pour les particuliers, certainement ! La GDPR remet le citoyen au centre des préoccupations concernant le respect de la vie privée. Mieux, elle redonne aux Européens le pouvoir de décider si oui ou non et comment, leurs données personnelles peuvent être : 1) collectées 2) stockées 3) utilisées. Désormais, chers concitoyens, nous avons tous notre mot à dire et ce à chaque étape du processus. Cela remet un peu l’église au milieu du village, et il était temps !

En résumé, voici les aspects sur lesquels nous aurons désormais des droits en tant que citoyen européen :

1. L’accès aux données : nous pouvons à tout moment demander de consulter nos données et de savoir comment celles-ci sont utilisées et à quelle(s) fin(s) ;
2. Le droit à l’effacement : similaire au droit à l’oubli, nous pouvons exiger à tout moment que nos données soient supprimées, et qu’elles ne soient plus traitées ni utilisées. En d’autres mots, le consentement donné à un instant T peut être retiré à tout moment.
3. Le droit à la portabilité des données : c’est-à-dire le droit d’accéder à ses informations dans un format informatique simple afin de pouvoir les transférer à une autre instance. Et ceci pour permettre un transfert de données plus fluide.

Que doivent faire les entreprises ?

Pour les entreprises et organismes, la réglementation GDRP est surtout synonyme d’un peu de boulot et de prise de responsabilité. En un mot, ce que le règlement veut encourager par-dessus tout, c’est la transparence. On le rappelle, c’est valable pour toutes les entreprises européennes ou celles qui ne le sont pas mais qui traitent de données de personnes européennes. Les entreprises qui collectent, traitent et stockent les informations devront toutes respecter les obligations suivantes :

1. En termes de sécurité : les entreprises devront développer un système de collecte et de gestion des informations qui soit sécurisé. En cas de violation de ces données, l’entreprise devra le notifier dans les 72h. Dans ce cadre, elle devra nommer un « délégué à la protection des données ».

2. En termes de transparence et de protection de la vie privée : Il faudra informer clairement et simplement les internautes de leur politique de stockage et de protection des données. Et ce, pour obtenir leur consentement positif et explicite pour traiter ces données. Enfin, il faudra pouvoir fournir simplement et complètement ces données à la demande des internautes.

Les entreprises et autres organismes devront également analyser les impacts potentiels sur la vie privée des personnes pour réduire un maximum les éventuelles conséquences de l’utilisation de ces données et respecter le droit à l’effacement lorsqu’il est réclamé.

En cas de non-respect de la nouvelle réglementation GDPR, le risque encouru est une amende qui pouvant aller jusqu’à 4% du chiffre d’affaires. Mais vous avez aussi droit à une récompense si vous faites les choses correctement : le label CNIL, qui est délivré à tout produit ou procédure tendant à renforcer la protection des données à caractère personnel.

Comment allons-nous faire tout ça ?

Pour des entreprises telles que Babusiaux, la réglementation GDPR est l’occasion :

1. De repenser notre système de récolte et de traitement des informations pour le rendre plus clair et transparent.
2. D’effectuer une analyse de risques avant toute utilisation de vos données.
3. De développer et d’adopter une série de bonnes pratiques dans notre relation avec nos salariés et vous ! Cela passe par une sécurisation et une actualisation régulière des données. De plus, nous mettons en place des garanties quant à la façon dont elles seront utilisées, en particulier vis-à-vis de nos partenaires et sous-traitants.

Pour plus d’informations :

• La réglementation ;
• La page du conseil européen présentant la réglementation ;
• Un site explicatif créé pour l’occasion (en anglais).

*Il s’agit bel et bien d’un règlement, et non d’une directive. Il s’appliquera donc à un niveau supranational dès le 25 mai, sans que les pays membres de l’UE aient à changer leur législation.