RGPD: Définition et impacts sur les entreprises

-
4
 m de lecture
-
RGPD

Depuis le 25 mai 2018, toute entreprise européenne ou non européenne, si elle commercialise ses produits ou services dans un pays de l’Union européenne, doit s’adapter au règlement général sur la protection des données (RGPD) ou general data protection regulation.

Qu’est-ce que le RGPD ?

La réglementation sur la protection des données ou règlement UE 2016/679 du Parlement européen et du Conseil est entrée en vigueur le 27 avril 2016 et est obligatoire pour toutes les entreprises de l’Union européenne depuis le 25 mai 2018. Elle accorde aux citoyens un contrôle et une sécurité accrus sur leurs données à caractère personnel dans le monde numérique. Le RGPD étend leurs droits de décider comment ils veulent que leurs données soient traitées et comment ils veulent recevoir des informations des entreprises.

Que doivent prendre en compte les entreprises par rapport au RGPD ?

Au-delà des sanctions qui peuvent résulter du non-respect du RGPD, il y a encore beaucoup de PME qui ne font rien face à ce règlement européen. En substance, le règlement sur la protection des données renforce le contrôle des données personnelles et donne à chaque individu le droit de les faire utiliser ou non par toute entité, publique ou privée, ainsi que la manière d’y accéder et d’en retirer l’accès.

Cependant, de nombreuses autres entreprises cherchent de l’aide pour faire du RGPD un aspect différentiel et une source de valeur ajoutée. Leur nouvelle stratégie consiste à considérer qu’il n’y a pas de meilleure valeur commerciale que de connaître en profondeur les données qui leur sont fournies par leurs clients actuels et futurs.

Compte tenu du cadre juridique issu du règlement européen sur la protection des données, les entreprises doivent prendre en compte les aspects suivants :

Il s’agit de toute information concernant une personne physique identifiée ou identifiable impliquant des différences par rapport à l’ancienne loi organique sur la protection des données (LOPD). Il peut s’agir d’un nom, d’un DNI, de données de localisation, d’un identifiant en ligne ou d’un ou plusieurs éléments de l’identité physique, physiologique, génétique, psychologique, économique, culturelle ou sociale de ladite personne.

Il y a plus de transparence avec les personnes dont les informations sont accessibles. Désormais, avec le règlement européen sur la protection des données, les entreprises doivent expliquer aux utilisateurs auprès desquels elles collectent les données pourquoi elles le font et prouver que ces données ne sont utilisées qu’aux fins pour lesquelles elles ont été collectées.

Les utilisateurs, quant à eux, auront la possibilité de retirer leur consentement et de supprimer les informations des serveurs de l’entreprise. Il n’y a plus de consentement tacite. Le règlement général sur la protection des données RGPD exige beaucoup plus de contrôles pour garantir que les personnes qui communiquent leurs données le font en toute connaissance de cause. Désormais, les entreprises doivent revoir et refaire tous les contrats et clauses.

Il appartient à chaque entreprise de déterminer les niveaux de risque qu’elle encourt et les mesures qu’elle doit adopter pour garantir que les informations de tous résidents européens et non-européens soient correctement sauvegardées et utilisées. Il n’y a plus d’uniformité dans la sécurité des données. Personne ne devrait se poser la question de savoir ce qu’est le RGPD.

Les entreprises doivent agir de manière proactive dans la communication des défauts. Face à une fuite de données, le responsable du traitement doit informer la Commission nationale de l’informatique et des libertés (CNIL) des failles de sécurité. Cet expert devra disposer d’un système efficace pour faire le rapport ou communiquer la décision aux personnes concernées en cas de risque pour leurs droits.

Le RGPD encourage les instances publiques comme privées à mettre en place un délégué à la protection des données personnelles (DPO). Il s’agit d’une figure incontournable de la nouvelle réglementation européenne. Sa mission est d’identifier tous les risques possibles et de rechercher leurs solutions. Sa présence est obligatoire pour toutes les administrations publiques et dans les organisations avec un traitement de données personnelles à grande échelle. Il peut être interne ou externe à l’entreprise.

Le règlement général sur la protection des données considère que le consentement parental sera requis pour traiter les données des mineurs de moins de 16 ans dans les services en ligne. Les États membres peuvent légiférer pour abaisser l’âge du consentement, bien que dans aucun pays l’exigence du consentement parental ne puisse être inférieure à 13 ans.

Le règlement sur la protection des données personnelles accorde une attention particulière à la mise en œuvre des schémas de certification et ouvre diverses possibilités pour leur gestion. Les certifications peuvent être accordées par les autorités de protection des données, à la fois individuellement et collectivement du Comité européen, ou par des entités dûment accréditées.

Privacy by Design stipule que toute action d’une entreprise impliquant le traitement de données à caractère personnel doit être réalisée en tenant compte de la protection des données et de la vie privée à chaque étape. Cela inclut les projets internes, le développement de produits, le développement de logiciels, les systèmes informatiques, et bien plus encore. En pratique, cela signifie que le service informatique ou tout autre service traitant des données personnelles doit veiller à ce que la protection de la vie privée soit intégrée dans un système pendant tout son cycle de vie. Jusqu’à présent, l’ajout de fonctions de sécurité ou de confidentialité à la fin d’un long processus de production était assez standard.

Privacy by default signifie qu’une fois qu’un produit ou un service a été mis à la disposition du public, les paramètres de confidentialité les plus stricts doivent s’appliquer par défaut sans aucune intervention manuelle de l’utilisateur final. En outre, toute donnée personnelle fournie par l’utilisateur pour permettre l’utilisation optimale d’un produit ne doit être conservée que le temps nécessaire pour fournir le produit ou le service. Si plus d’informations que nécessaire pour fournir le service sont divulguées, il y a violation de données.

En raison de tous les changements concernant la loi organique sur la protection des données (LOPD), il faut que les entreprises se réfèrent aux guides qui définissent les concepts, méthodologies, exemples et modèles à suivre, les recommandations et même les listes de risques possibles de violation du RGPD. Ce ne sont pas des guides standards, mais doivent être adaptés à chaque entreprise.

Facebook
Twitter
LinkedIn

DataScientest News

Inscrivez-vous à notre Newsletter pour recevoir nos guides, tutoriels, et les dernières actualités data directement dans votre boîte mail.

Vous souhaitez être alerté des nouveaux contenus en data science et intelligence artificielle ?

Laissez-nous votre e-mail, pour que nous puissions vous envoyer vos nouveaux articles au moment de leur publication !

Newsletter icone
icon newsletter

DataNews

Vous souhaitez recevoir notre
newsletter Data hebdomadaire ?