Règlementation européenne sur la protection des données (GDPR)

Quatre ans après le début des travaux de l’Union européenne sur de nouvelles règles de confidentialité, le Parlement européen a adopté le texte définitif du nouveau règlement sur la protection des données en UE (GDPR). L’UE achève ainsi le processus long et controversé qui a conduit à ces nouvelles règles, avec la publication du règlement au Journal officiel de l’Union européenne, mais aucune modification ne peut être faite à ce stade. Cela laisse aux entreprises une période de deux ans pour se préparer à sa mise en œuvre. La France, pour sa part, mettra ces nouvelles règles en œuvre avant 2018.

Bien que le règlement entre en vigueur le 24 mai 2016, il sera applicable en Europe à partir du 25 mai 2018. La Directive entre en vigueur le 5 mai 2016 et les États membres de l’UE devront la transposer dans leur droit national avant le 6 mai 2018.

Les professionnels de la sécurité doivent commencer à évaluer ce que les nouvelles règles impliquent dans leur organisation et ils doivent apporter les changements nécessaires à la technologie, à leurs processus et à leurs personnels. Le GDPR introduit des changements importants sur plusieurs points.

Il s’applique à l’UE et aux entreprises non-UE. Si une entreprise offre des produits ou services sur le marché européen, ou si elle collecte des données sur les clients européens, les nouvelles règles de confidentialité sont applicables.

Les amendes peuvent atteindre jusqu’à 4%. L’UE a confirmé sa décision d’appliquer de lourdes amendes: Pour avoir enfreint la loi, les entreprises devront payer jusqu’à 4% de leurs revenus mondiaux ou 20 M €, au maximum.

La notification des violations de données est obligatoire. Les organisations disposent de 72 heures pour communiquer à l’autorité de protection des données pertinentes l’occurrence de violations de données.

Les entreprises doivent embaucher un expert en protection des données. Les entreprises dont l’activité principale implique la collecte régulière et systématique des données personnelles, ainsi que les entreprises qui manipulent des données sensibles, doivent embaucher un expert en protection des données. Cette exigence est également en place pour toutes les autorités ou organismes publics.

La confidentialité en conception constitue une exigence légale. Ces nouveaux principes exigent que l’intégration des exigences de confidentialité dans la conception de nouveaux produits et services et de traiter le minimum de données personnelles nécessaires pour atteindre un but défini.

D’autres modifications comportent également un mandat pour les évaluations d’impact sur la vie privée, ainsi que l’introduction de nouveaux droits des clients, tels que «le droit à l’oubli» et le «droit à la portabilité des données ». Le profilage des clients et la publicité directe doivent se fonder sur des pratiques plus transparentes et sur le consentement du client. Et, il faut également examiner les relations avec les tiers.

Ce nouvel ensemble de règles nécessite des changements importants pour toutes les organisations qui gèrent les données des clients. En fait, Forrester estime que le thème du respect de la vie privée permet aux entreprises d’établir des relations de confiance avec leurs clients sur la base de la loyauté. Voir aussi www.information-management.com/

Références: Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 Avril 2016 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, texte abrogeant la Directive 95/46 / CE (General Data protection règlement).

Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 Avril 2016 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention, de recherche, de détection ou la poursuite d’infractions pénales ou de l’exécution des sanctions pénales, et à la libre circulation de ces données, abrogeant la décision-cadre du Conseil 2008/977 / JAI.

Selon cette réglementation, le « délégué à la protection des données » (DPO – data protection officer) relaie le «détaché à la protection des données à caractère personnel » (correspondant Informatique et Libertés), ce qui pourrait contribuer à créer une véritable profession, exerçable en interne ou en externe.

© 2015 Strategies Telecoms & Multimedia | Contact |  -