Vous avez peut-être entendu parler de GDPR ces derniers jours… qu’est-ce donc?
Le GDPR (General Data Protection Regulation) est un texte de référence européen pour tout ce qui concerne les données à caractère personnel. Le texte a été approuvé par le parlement européen le 16 avril 2016 et sa mise en application est pour le 25 mai 2018.
Que concerne-t-il?
Une loi de 1995 avait déjà été faite sur le même sujet (la Data Protection Directive) mais après 20 ans elle méritait bien une révision moderne au vu des très nombreuses évolutions du web depuis.
Ce texte harmonise pour toute l’Europe la législation sur les données à caractère personnel (noms, adresses, numéros de téléphone, numéros de compte, adresses e-mail et adresses IP). Il est fait pour protéger les citoyens de l’UE et dynamiser la manière dont les organisations abordent la confidentialité des données.
La plupart des mesures prises sont dignes du bon sens : minimiser la collecte de données à caractère personnel, supprimer celles qui ne sont plus utiles, restreindre les accès à ces données, et les sécuriser tout au long de leur durée de vie utile.
Alors qu’est-ce qui change?
Les organisations devront minimiser les collectes et rétention de données ainsi que demander explicitement l’accord des personnes concernées pour tout traitement de leurs données. Cela veut dire, plus de longues listes légales sur les conditions d’utilisation mais des demandes simplifiées.
En plus de cela, ils devront mesurer les risques d’atteinte à la vie privée lorsqu’il y a manipulation ou traitement de leurs données personnelles et prévenir les personnes concernées.
Le droit à l’effacement est d’application aussi. Toute personne voulant supprimer des informations qu’il a publié doit pouvoir le faire facilement et rapidement. Cette conjoncture est valable pour tout contenu publié sur le web et pas seulement les données à caractère personnelle.
Il y a une extraterritorialité à ces mesures, c’est à dire que chaque entreprise même hors union européenne à laquelle seraient confiées des données personnelles de ressortissants européens se verra dans obligation d’appliquer ces règles.
Désormais, en cas de violations de données privées, les sociétés devront notifier dans les 72h la personne concernée et communiquer les risques, s’il y en a, d’atteinte à la liberté individuelle.
Des amendes lourdes (allant jusqu’à 4% du chiffre d’affaire) seront prévues pour toute société enfreignant ces nouvelles lois.
En résumé,
le message envoyé aux entreprises concernées par le GDPR est qu’il est désormais encore plus crucial qu’avant de traiter les données à caractère personnel avec un soin tout particulier, et, entre autres, de savoir en permanence où sont conservées les données sensibles, qui les exploite et qui peut accéder à ces données. Une bonne avancée en matière de protection !
