Il aura fallu 21 ans pour que l’Union Européenne (UE) se dote d’un texte qui réponde enfin aux exigences du XXIe siècle : Le « General Data Protection Regulation (GPDR) » adopté en Novembre 2016 et qui entrera en vigueur le 25 Mai 2018.
Pourquoi le GDPR ?
Une régulation Européenne devenue vieillissante, voire inadaptée face aux défis modernes : Après les échecs ou les insuffisances des textes récents sur la protection des données personnelles (Directive 95/46/CE relative à la protection des données, la Charte Européenne des Droits fondamentaux de 2000, la Décision-cadre 2008/977/JAI relative à la protection des données traitées dans le cadre de la coopération policière et judiciaire en matière pénale, le Safe Harbor, le Privacy Shield), l’UE ne pouvait plus protéger convenablement les données personnelles des citoyens européens. En effet, les années 2010 ont révélé aux yeux du monde que la protection des données personnelles relevait plus d’un mythe qu’une réalité après les révélations Snowden sur les programmes de surveillance en masse, Wikileaks, les nombreuses attaques cybercriminelles organisées, etc.
Des législations nationales nombreuses et désharmonisées : Sur le plan national, une fragmentation des législations des États membres de l’UE (en France, la loi Informatique et Liberté de 1978 modifiée) ne répondait aux défis de l’évolution des technologies et d’un monde connecté où les zones de libre-échange n’ont jamais été aussi nombreuses malgré les vents de repli communautaire au sein de l’UE.
La réponse forte de l’Union Européenne : Le GDPR a apporté une réponse forte encadrant une libre circulation des données personnelles dans l’UE et assurant une protection accrue d’un droit fondamental des citoyens UE (la protection des données personnelles). De plus, le GDPR introduit une harmonie des législations européennes. Le Règlement ne nécessitera pas de loi intermédiaire et sera d’application immédiate dans tout le territoire de l’UE. Les lois anciennes seront remplacées par le GDPR. Et certaines prérogatives législatives seront laissées aux Etats de l’UE.
Où et à qui s’applique le GDPR ?
La notion d’extraterritorialité prend tout son sens avec le GDPR, en effet, il s’applique à tous les citoyens de l’UE, que leurs données personnelles soient traitées sur le territoire de l’UE ou en dehors. Il s’applique ainsi à toutes les entreprises situées au sein de l’UE dès lors qu’elles traitent les données personnelles des citoyens de l’UE mais également aux entreprises situées en dehors de l’Union qui traitent les données personnelles de citoyens de l’UE.
Quid des droits des citoyens UE
Le GDPR redonne le contrôle des données personnelles au citoyen. Consécration des droits déjà existants : droit d’accès (plus de clarté sur la collecte, le traitement des données et leur disponibilité), droit à l’oubli et création de droits nouveaux : droit à la portabilité des données (entre prestataires de service) et droit de recevoir une notification en cas de piratage des données (si risque d’atteinte à la liberté et droit fondamental du citoyen).
Quid des enjeux pour les entreprises ?
Le GDPR représente pour les entreprises une aubaine économique : La règle unique européenne est une avancée considérable. Selon, l’UE cela représenterait une économie de 2,3 millions d’euros par an selon la Commission Européenne. En finir avec 28 lois de protection des données différentes ferait donc du bien aux entreprises. D’un point de vue administratif, le GDPR c’est également la suppression de certaines des obligations de notifications (ex : Déclaration CNIL) auprès des autorités nationales de protection des données personnelles (Data Protection Authority – DPA). Cela représente un coût en moins et une lourdeur administrative de moins. Le GDPR c’est donc la libre circulation des données personnelles tout en les protégeant et pour cela c’est la mise en place également d’un guichet unique (le choix d’une DPA pour une entité multinationale).
Le GDRP s’étend hors des frontière UE : les business partners hors UE, les entreprises situées UE qui traitent les données personnelles des citoyens UE, doivent se conformer au GDPR, ça sera le cas par exemple des GAFA.
Une incitation à la responsabilité et à l’innovation : Le GDPR demande aux entreprises de prendre des mesures respectueuses de la vie privée, tels que la pseudonymisation et le chiffrement. C’est aussi la mise en place des analyses d’impact lorsque le traitement de données peut présenter certains risques pour les droits et libertés des citoyens. L’entreprise doit être en mesure de démontrer ces mesures, par le biais par exemple de tenue de registres des activités de traitement : une obligation pour les PME si le traitement est régulier ou risqué pour la personne dont les données sont traitées. Le GDRP c’est en outre pour les entreprises de garantir que les mesures de protection sont intégrées dans les services et les produits dès la conception : privacy by design ou by default. Enfin le GDPR crée le DPO (Data protection officer) pour les entreprises qui traitent les données à grande échelle.
La prise de conscience doit être collective : e-commerçants, éditeurs de logiciel, ESN (prestataires et sous-traitants), etc… tous les collecteurs de données personnelles sont pleinement concernés par le GDPR. La sanction va jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondiale de l’entreprise en cas de non-respect des principales obligations du GDPR (ex : le non-respect du consentement de la personne concernée), ou « seulement » jusqu’à 10 millions d’euros et 2% du chiffre d’affaires mondial de l’entreprise en cas de non-respect des obligations pesant sur le responsable de traitement et au sous-traitant. Il est temps d’agir à 366 jours de l’entrée en vigueur du GDPR.
Si vous voulez savoir plus les objectifs de cette mesure, le domaine d’application, les principaux éléments du GDPR ainsi que la façon de se mettre en conformité, regardez le replay du webinaire « GDPR : Que dit la nouvelle réglementation Européenne sur la protection des données personnelles ? ».
Plus d’informations sur le GDPR : General Data Protection Regulation (GPDR).
Téléchargez le catalogue des prix !