Nouveau règlement européen sur les données personnelles

En mai 2018 doit entrer en vigueur le nouveau règlement européen de protection des données personnelles, le GDPR (General Data Protection Regulation). Il a été décidé en 2015 et s’applique à toutes les organisations collectant, traitant ou stockant des données personnelles.

Cela vise les données des employés, clients, partenaires, prospects sur tous les supports possibles (serveurs, mobiles, ordinateurs, e-mails, etc.) permettant une identification directe ou indirecte. Le champ est tellement large que toutes les sociétés sont concernées.

Les nouvelles obligations sont les suivantes :

  • S’assurer du consentement des personnes pour la collecte et le traitement de leurs données et pouvoir prouver ce consentement éclairé
  • Pouvoir prouver à tout moment que les données sont protégées et inutilisables en cas de faille
  • Pouvoir fournir à tout moment l’ensemble de ses données à une personne et les supprimer sur demande
  • Informer chaque personne concernée de l’utilisation des données, de son droit d’accès, rectification, effacement et limitation
  • Conserver les données uniquement le temps nécessaire à leur traitement
  • Création d’un délégué à la protection des données pour toute entreprise de plus de 250 salariés
  • Tenue d’un registre de traitement des données pour les entreprises de plus de 250 salariés et pour toutes les entreprises collectant des données sensibles (santé, religion, mineurs, etc.)
  • Notification sous 48h à la CNIL et aux personnes concernées en cas de fuite de données

 

Le texte distingue les entreprises responsables du traitement des données des entreprises sous-traitant ces données, en les stockant par exemple.

Il distingue également le traitement des données avec ou sans consentement, notion qui doit être apportée clairement aux personnes concernées. Le consentement pour chaque traitement des données devra être recueilli et prouvé. Un traitement sans consentement pourra avoir comme objet l’exécution d’un contrat, une mission d’intérêt public ou les intérêts du responsable du traitement.

Ces mesures concernent toutes les données stockées dans l’Union Européenne et leur non respect pourra être sanctionné d’une amende de 20 millions d’euros ou 4% maximum du chiffre d’affaires mondial de l’exercice.

Une certification « GDPR compliant » pourra être accordée avec audit régulier. Les entreprises sans certifications pourront être contrôlées à tout moment.

Cependant, à 7 mois de l’entrée en vigueur de la GDPR, les autorités de contrôle et la Commission européenne n’ont publié aucun document relatifs aux critères de certification, documents qui permettraient aux entreprises de réaliser des audits de « GDPR compliance » et mettre en œuvre des solutions.

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s