Le GDPR : la Grande Dame qui Protège et Rassure

Jour J (D-Day) = 25 MAI 2018 date d’entrée en vigueur du General Data Protection Regulation (GDPR) ou Règlement Général sur la Protection des Données (RGPD) (compte à rebours: http://www.eugdpr.org/- Législation: http://ow.ly/f6pQ30ewHRm - Protection : http://ec.europa.eu/justice/data-protection/ et https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights_fr )
Christophe Boeraeve
IAPP’s Certified Information Privacy Professional Europe (CIPP/E - http://ow.ly/FQ5n30e6xer)
www.linkedin.com/in/cboeraevetaxlawyer

Qu'est ce que le GDPR ?

Le General Data Protection Regulation (GDPR) ou Règlement Général sur la Protection des Données (RGPD) représente la plus importante mutation législative depuis 20 ans. Directement applicable dans les 31 pays de l’Espace Économique Européen (les 28 États membres de l'Union européenne (UE) et trois des quatre États membres de l'Association européenne de libre-échange), il s’impose de manière identique partout et sans intervention de chaque état membre pour l’insérer dans son arsenal législatif.

Il étend et renforce les droits des personnes concernées, nos clients, en termes de transparence dans le traitement de leurs données personnelles, surtout si elles sont sensibles ou si elles concernent des enfants.

L’internet, le cloud, hébergent nos données personnelles des plus « ordinaires » (nom, profession, résidence, téléphone, adresses email,…) au plus « sensibles » (opinions politiques, convictions religieuses ou philosophiques ou appartenance syndicale, données génétiques ou biométriques, relatives à la santé ou concernant la vie sexuelle ou l'orientation sexuelle).

Nous sommes demandeurs d’être, de devenir… ou de rester, maîtres de nos identités digitales qui doivent par ailleurs être adéquatement protégées de multiples attaques.

Les données collectées sont à présent limitées de multiples manières : le consentement requis est ainsi caparaçonné (libre, spécifique, éclairé, univoque et nécessaire) et réellement cuirassé s’il concerne des catégories particulières de données à caractère personnel, des données génétiques ou biométriques (explicite).

Les finalités de la collecte et du traitement de ces données est circonscrite, les données sont d’ailleurs minimisées à ce qui est collecté pour atteindre ces objectifs. L’exactitude et la durée de conservation des données font également l’objet de mesure spécifiques et particulièrement contraignantes comme le droit au retrait du consentement, à l’effacement ou à la rectification.
La confidentialité doit être garantie dès la conception du bien ou service et par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont proposées et traitées.

La « pseudonymisation » (ou anonymization) et le « chiffrement » (ou cryptage) sont encouragés et clairement définis tandis que de nouveaux droits voient le jour comme la portabilité des données qui doivent à présent être fournies dans un format structuré, couramment utilisé et lisible et sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées puisse y faire obstacle.

Les données personnelles bénéficient de protections supplémentaires en cas de traitement transfrontalier sous la stricte inspection des autorités de contrôle dotées de pouvoirs de sanctions jamais rencontré auparavant pouvant atteindre 20 Mo d’euros (ou 4% du chiffre d'affaire annuel mondial)!

La hantise de tout responsable du traitement des données et donc in fine de toute entreprise qui les collecte, est plus que jamais d’être victime d’une violation des données à caractère personnel.

La « personne physique identifiable » n’est autre que nous-même dans nos multiples interactions digitales, sur le net ou par mail, via des serveurs ou dans le cloud, par des procédés automatisés ou non,…

Pourquoi devez-vous vous en soucier ?

Le RGPD concerne toute entreprise établie dans l’Union Européenne mais également :

A) à l'offre de biens ou de services aux personnes concernées dans l’Union qu'un paiement soit exigé ou non desdites personnes; ou
B) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.

De manière automatique, sans autre information, le règlement entre en vigueur le 25 mai 2018 : http://www.eugdpr.org/.

Chaque organisation qui ne s’est pas conformée à cette date s’expose à des amendes administratives pouvant s'élever jusqu'à
20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Chaque entreprise a à présent l’obligation de fournir à chaque personne concernée l’information qu’elle a le droit d'introduire une réclamation auprès d'une autorité de contrôle.

Puisque les violations de données à caractère personnel croissent de manière exponentielle plutôt que de se réduire ou s’éteindre, que l’information n’a jamais été aussi facile à partager entre un grand nombre de personnes sinon la planète entière, gageons que nos entreprises s’exposent à de nombreuses communications des données des personnes protégées par le RGPD aux autorités de contrôles…

Quelles sont les opportunités offertes par le RGPD ?

Les opportunités sont pour nous plus nombreuses et importantes que les contraintes ou les obligations nouvelles ou intensifiées.

Les entreprises qui considèrent le RGPD comme un fardeau resteront à quai voire couleront tandis que celles qui le considèrent comme une chance apportant un souffle nouveau navigueront toutes voiles dehors (http://www.cityam.com/268997/business-which-treat-gdpr-burden-get-left-behind).

La plupart des entreprises manquent actuellement de règles, techniques, personnes, pratiques et procédures pour garantir les droits et libertés des consommateurs digitaux.

Elles sont souvent indolentes et manquent de vision à moyen et long terme quant au traitement et à la conservation de ces données. Leurs équipes ne communiquent que peu sur le sujet et cette préoccupation n’est pas partagée par tous (mais au contraire limitée en règle aux services juridiques et informatiques).

Le RGPD repose tout entier sur la CONFIANCE qu’il fait naître ou grandir entre une entreprise et ses clients.
Le RGPD crée un nouvel environnement à l’origine d’expériences nouvelles pour les consommateurs : plus que jamais leur consentement doit être éclairé et l’usage qui est fait de leurs données, strictement réglementé.

Il permet également de rassembler une entreprise, de souder les membres de nombreux départements concernés, autour d’une vision commune de bonnes pratiques en termes de traitement des données personnelles.

Comme un phare dans la nuit glaciale des tsunami que nos économies modernes toujours plus digitales traversent, le RGPD brille et nous guide vers une nouvelle clarté et transparence.

Clairement, les objectifs de l’Union Européenne sont de créer un marché digital fort dans lequel la confiance des consommateurs dans les entreprises responsables du traitement, et leurs sous-traitants, est garantie… Et peut même devenir exemplaire et inspirante pour le reste du monde.

      Mots clés

      • Protection des données
      • RGDP