Un nouveau texte de référence européen sur la protection des données personnelles est entré en vigueur en mai 2018. Il vise à consolider et à unifier la protection des données des personnes dans l’Union européenne. En d’autres termes, cette loi impliquera la mise en conformité RGPD des entreprises traitant de données à caractère personnel.
Mise en conformité RGPD : Quels changements ce texte apportera-t-il?
La réponse courte à cette question est liée à l’inquiétude du public au sujet de la vie privée. L’Europe en général a longtemps eu des règles plus strictes concernant la manière dont les entreprises utilisent les données personnelles de leurs citoyens. Ce nouveau texte remplace la directive de l’UE sur la protection des données entrée en vigueur en 1995. C’était bien avant qu’Internet ne devienne le centre des affaires en ligne tel qu’il est aujourd’hui. Par conséquent, la directive est obsolète et ne traite pas de nombreuses manières dont les données sont stockées, collectées et transférées de nos jours.
L’objectif principal de la mise en conformité RGPD est de «redonner aux citoyens le contrôle de leurs données personnelles tout en simplifiant l’environnement réglementaire des entreprises».
Cela entraînera certaines préoccupations et de nouvelles attentes. Par exemple, le RGPD a une vision large du concept des informations d’identification personnelle. Les entreprises auront besoin du même niveau de protection pour des éléments tels que l’adresse IP d’un particulier ou les données de cookies que pour son nom, son adresse et son numéro de sécurité sociale.
Un cadre mieux défini pour la mise en conformité RGPD
Afin d’harmoniser toutes les règles relatives aux données à caractère personnel, la mise en conformité RGPD est directement applicable dans tous les États membres de l’Union européenne.
Toute entreprise qui stocke ou traite des informations personnelles sur des citoyens de l’UE dans des États de l’UE est concernée, même si elle n’a pas de présence commerciale dans l’UE. Les boîtes comptant plus de 250 employés sont systématiquement concernés. Les autres ne doivent s’y conformer que si le traitement informatique de données personnelles a une incidence sur les droits et libertés des propriétaires, ou que ces informations sont à caractère sensible. Une enquête a révélé que 92% des entreprises américaines considèrent le RGPD comme une priorité absolue en matière de protection des données.
Qui se charge de la mise en conformité RGPD dans l’entreprise ?
La mise en conformité RGPD introduit plusieurs fonctions : contrôleur de données, processeur de données et responsable de la protection des données. Le responsable du traitement d’informations définit les finalités pour lesquelles celles-ci sont traitées. Il est également responsable vis-à-vis des contacts externes.
Cette personne peut faire partie d’un groupe interne qui gère des enregistrements de données à caractère personnel ou bien être un prestataire spécialiste dans ce domaine. Le RGPD tient les processeurs responsables des infractions ou de la non-conformité. Il est donc possible que votre société et votre collaborateur, par exemple un fournisseur de cloud, soient passibles de sanctions, même si la faute incombe entièrement au prestataire externe.
Le GDPR exige que le contrôleur et le processeur désignent quelqu’un pour superviser la stratégie de sécurité des données et la conformité au RGPD. Les entreprises sont tenues de disposer de cette personne dès lors qu’elles traitent ou stockent de grandes quantités de données de citoyens de l’UE. Certaines entités publiques telles que les forces de l’ordre peuvent être exemptées de l’obligation de faire appel à cet expert.
La mise en conformité RGPD a pour objectif de mettre à jour la directive de 1995. Cependant, elle est plus stricte et plus étendue que l’ancienne législation. Nombreux sont ceux qui reconnaissent la pertinence de son objectif d’offrir plus de transparence, de choix et de respect des données personnelles.