27 April 2017

GDPR – General Data Protection Regulation : ce qu’il faut retenir

GDPR. Derrière ce sigle se cache une réglementation devenue essentielle à l’ère du tout-digital. Le GDPR, c’est le cadre juridique entourant la question délicate de la protection des données personnelles des citoyens européens. Ces données que chacun de nous fournit en quantités toujours plus importantes, à des organismes publics ou privés, à travers un ordinateur, un smartphone, une tablette – et désormais via une smart watch, une voiture, un frigo, un grille-pain ou tout autre objet connecté. Il était donc plus que temps d’instaurer un cadre juridique capable de clarifier et d’harmoniser l’utilisation des données personnelles des citoyens européens et de leur donner les moyens de disposer de leur identité numérique – et ce besoin a donné naissance au Règlement général sur la protection des données (RGPD).

Qu’est-ce que le GDPR ?

GDPR signifie, dans la langue de Shakespeare, « General Data Protection Regulation », ce que l’on traduit par RGPD pour « Règlement Général sur la Protection des Données ». Le GDPR est aujourd’hui le texte de référence en matière de protection des données personnelles au niveau de l’Union européenne.

Cet ensemble de règles remplace un précédent texte datant de 1995, qui revêtait quelques inconvénients – notamment parce qu’il laissait trop de place à l’interprétation, qu’il était peu restrictif… et que l’Union européenne a changé de visage depuis, passant à 28 pays membres.

La nouvelle réglementation, constituée de 99 articles et publiée au Journal officiel de l’UE le 4 mai 2016, donne cette fois un cadre plus strict ainsi qu’une date d’application concrète. En effet, toutes les organisations (publiques ou privées) basées dans l’Union européenne, ou situées hors-UE mais gérant les données personnelles de résidents européens, devront être en conformité avec le GDPR d’ici au 25 mai 2018.

Qui est concerné par le GDPR ?

Toute organisation installée dans un pays de l’Union européenne devra appliquer les dispositions du GDPR : entreprises et syndicats d’entreprises, associations, administrations et collectivités territoriales. Y compris celles qui sont basées en dehors des frontières de l’UE et qui collectent, stockent et exploitent des données propres aux résidents d’un pays membre.

Ces organisations devront protéger toutes les données personnelles en leur possession. Au-delà des informations relatives aux prospects et clients, on entend par là également les données collectées au sujet de l’organisation elle-même, de ses collaborateurs, de ses clients et fournisseurs, de ses partenaires…

Le GDPR voit large, puisque la totalité des données est concernée, même si les informations recueillies ne permettent pas une identification directe de la source. Toute la data qui transite sur les supports physiques (ordinateurs, appareils mobiles, serveurs) ou par le biais d’échanges électroniques (mailing, traçage des internautes) devra être protégée au titre de la nouvelle réglementation européenne.

Les dispositions clés à retenir du GDPR

Le GDPR instaure un cadre juridique harmonisé pour tous les pays membres de l’Union européenne. Les dispositions clés contenues dans le texte :

La notion de consentement explicite : les organismes doivent s’assurer du consentement explicite des utilisateurs avant de recueillir leurs données personnelles.
La notion de droit à l’effacement, plus connue sous le nom de « droit à l’oubli » : chaque citoyen de l’UE a le droit de demander l’effacement de tout ou partie de ses données personnelles par le responsable du traitement de ces données, en raison de plusieurs motifs (par exemple en cas de traitement illicite).
La notion de portabilité des données : toute personne est en droit de récupérer ses données personnelles auprès de l’organisme qui les a recueillies, dans un format structuré et couramment utilisé, afin de transmettre ces données à tout autre responsable de traitement de son choix (la même personne peut aussi demander à ce que ses données soient transmises directement d’un organisme à l’autre quand c’est techniquement faisable).
La notion de notification des fuites : en cas de piratage informatique, le responsable du traitement doit en notifier l’autorité nationale de protection des données ainsi que les utilisateurs affectés.
L’obligation faite aux organismes publics (et aux entreprises privées de plus de 250 salariés) de nommer un délégué à la protection des données (ou Data Protection Officer « DPO »).
La notion de protection des données dès la conception, aussi connue sous l’expression « Privacy by design » : les exigences relatives à la protection des données doivent être prises en compte, par les organismes, dès le stade de la conception de leurs produits, services et systèmes. Le but de cette disposition est de protéger les données des utilisateurs de façon à ce qu’elles ne puissent pas être divulguées à de tierces personnes, ni permettre à celles-ci de tout savoir de la vie privée des utilisateurs.

Quelles sont les conséquences du GDPR pour les entreprises ?

Le chantier de mise au norme avec le GDPR est un sujet complexe dont la mise en œuvre exigera des délais et des changements importants dans les entreprises. Cependant, à partir du 25 mai 2018, les entreprises ont à charge de prouver qu’elles respectent les dispositions prévues par le GDPR – et notamment les changements importants de traçabilité et de cartographie des traitements des données personnelles qui découlent des nouvelles règles de la protection des données. Au-delà de ces deux dispositions, ce sont tous les aspects de la sécurité des données qui doivent être pris en compte par les entreprises dans l’optique leur mise en conformité. Ce qui implique de lancer dès à présent les chantiers prioritaires comme :

la cartographie des données personnelles au sein de l’entreprise ;
le recensement et la création d’un catalogue des traitements des données personnelles ;
la nomination d’un délégué à la protection des données (pour les entreprises de plus de 250 salariés) ;
la conduite d’un projet transverse dans le but de déployer des solutions et les bonnes pratiques en matière de sécurité des données et de Data Management ;
l’évolution des méthodes de conception des produits, services et systèmes, en vertu du principe de « Privacy by design ».

Faute d’avoir respecté cette mise en conformité au 25 mai 2018, les entreprises s’exposent à une sanction financière pouvant aller jusqu’à 4 % de leur chiffre d’affaires annuel mondial (ou jusqu’à 20 millions d’euros) ! Une raison qui oblige à prendre le taureau par les cornes et lancer dès aujourd’hui la mécanique visant à adapter l’entreprise aux nouvelles exigences de la réglementation GDPR.

Comment structurer une organisation Data-Driven ?

télécharger

Télécharger

Autres articles

DataGalaxy lève 10 millions de dollars pour accompagner l’accélération de la transformation data de ses clients

by Melanie Geheniau | Jul 5, 2023 | Communiqués de presse, Data Gouvernance, Intelligence business

DataGalaxy lève 10 millions de dollars pour accompagner l’accélération de la transformation data de ses clientsDataGalaxy, pionnier de la gouvernance collaborative des données, leader en France et éditeur du premier Data Knowledge Catalog, annonce une levée de fonds...

Starburst et DataGalaxy annoncent un partenariat pour accélérer la gouvernance fédérée des données

by Melanie Geheniau | Mar 29, 2023 | Data Gouvernance

Les deux éditeurs lancent une nouvelle intégration associant le dictionnaire de DataGalaxy avec Starburst et Trino, le moteur de requête SQL distribué.Boston, Massachusetts – 29 mars 2023 – Starburst, la plateforme analytique du Data Lake, annonce un partenariat...

Politique de gouvernance des données : qui est responsable ?

by Maxime Faivre | Nov 8, 2021 | Data Gouvernance

Qui est responsable de la politique de gouvernance des données ? En matière de données, l’approche bottom-up est incontournable. Elle permet de créer une politique de gouvernance des données adaptée à votre entreprise. Comme les idées émanent des experts métiers, la...