Un règlement pour renforcer la protection des données personnelles en Europe
Nouveau cadre légal pour la collecte, le traitement et le partage de données personnelles, le GDPR est entré en vigueur en mai 2016 dans les 28 États membres de l’Union européenne (UE). Il s’applique à tous les acteurs économiques et sociaux impliqués dans le traitement de données personnelles concernant des citoyens de l’UE : entreprises, administrations, collectivités, associations… européennes ou non !
Chacun de ces acteurs bénéficie d’une période de transition de 2 ans pour s’adapter progressivement au nouveau règlement d’ici mai 2018, date à partir de laquelle tous devront être en mesure de prouver leur conformité au GDPR.
En cas de manquement à ce texte de loi, les autorités de protection européennes pourront infliger des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros maximum.
Le GDPR vise à renforcer et responsabiliser plus fortement les organisations quant à leur exploitation des données personnelles, alors que la cybersécurité est encore trop rarement considérée comme un sujet prioritaire. En 2016, 77 % des entreprises ne s’estimaient pas préparées en cas d’incident…
Une réponse ferme aux enjeux de la cybersécurité
La transformation digitale et ses corollaires (développement de l’IoT, essor du Big Data…) ont favorisé l’émergence massive de nouvelles informations (données personnelles en tête), dont le volume est amené à se multiplier. Pour encadrer et sécuriser ce phénomène, le GDPR impose notamment aux organisations de :
- collecter exclusivement les données à caractère personnel nécessaires à la finalité poursuivie ;
- veiller à ce que les données collectées soient entièrement protégées contre les différents risques (perte, vol, divulgation…).
En cas de détection d’une faille de sécurité, l’entité concernée serait légalement tenue de le notifier rapidement (avant 72 h) à l’autorité compétente – la CNIL (Commission Nationale de l’Informatique et des Libertés), en France – et d’en informer les personnes concernées, en cas de risque d’atteinte à leur vie privée.
En outre, toutes les mesures et procédures visant à assurer une protection adaptée et permanente des données devront dorénavant être documentées, afin d’en permettre la vérification par les autorités.
Quant au transfert de données en dehors de l’UE, il ne pourra être effectué que selon un cadre strictement défini par le règlement et impliquer uniquement des partenaires tiers offrant toutes les garanties de fiabilité et de sécurité nécessaires.
Vers plus de confiance et de transparence
Le règlement repose sur le droit inaliénable de chaque citoyen à la protection de sa vie privée et de ses données personnelles. Le GDPR exige ainsi le recueil explicite et sans ambiguïté d’un consentement libre de toute condition, en amont de la récupération des données. Tout doit être exprimé le plus clairement possible ! En étant informés systématiquement et au préalable de l’objectif de la collecte des données, de leur durée de détention, de leur éventuel transfert, etc., les individus bénéficieront ainsi d’une transparence totale indispensable.
Autre mesure phare du GDPR : le respect du droit à l’oubli (c’est-à-dire l’effacement pur et simple) ainsi que le principe de la portabilité des données, qui implique un niveau de contrôle et de maîtrise des informations particulièrement exigeant de la part des organisations ou de leurs prestataires.
Plus que des contraintes supplémentaires, le GDPR offre également l’opportunité d’une nouvelle relation de confiance et de transparence entre les organisations et les individus (clients, partenaires, collaborateurs…). Un pas supplémentaire vers l’ère de la business-cybersécurité !
Les data-processors en première ligne
Afin d’organiser une véritable gouvernance transverse autour de la protection des données, le GDPR exige que les administrations et entreprises, dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, se dotent d’un Délégué à la Protection des Données (ou Data Privacy Officer). Un poste clé à la croisée de multiples compétences, notamment juridiques et techniques.
Le nouveau règlement renforce également sur le rôle des « data-processors », sociétés sous-traitantes chargées du traitement des données pour le compte d’un responsable de traitement (les « data-controllers », qui collectent les informations dans un objectif précis). Des acteurs contractuellement responsabilisés par leurs clients dans leur rôle de garant de la sécurité des données... et donc exposés aux obligations comme aux sanctions du GDPR. Une mission sensible qu’il vaut mieux confier à un partenaire de confiance !
A cet égard, le sens du GDPR est clair : la protection des données personnelles « by design and by default » c’est-à-dire l’anticipation de la problématique du traitement des données personnelles en amont de tout projet doit dorénavant constituer le cœur même de toute activité en lien avec la data.