L’intensification de la digitalisation au sein des entreprises, participe à la collecte de « masse » des données personnelles (+40% de données supplémentaires chaque année). Ces données personnelles peuvent varier d’une simple adresse mail, aux coordonnées géographiques, bancaires, etc… d’un individu. Face à ce phénomène un règlement européen, la GDPR (General Data Protection Regulation), sera applicable d’ici mai 2018.
Préoccupation de taille : les données à caractère personnel se devront d’être traitées de manière licites, loyales et transparentes au regard des personnes concernées et menant à des finalités déterminées, explicites et légitimes. Elles devront être exactes et tenues à jour si nécessaire. Elles ne devront en aucun cas être utilisées ultérieurement d’une manière incompatible avec leurs finalités d’origine.
Quelles sont les entreprises concernées ?
L’ensemble des structures juridiques stockant des données à caractère personnel, se devront d’adhérer à cette nouvelle réglementation européenne. Ainsi entreprises, associations, administrations, collectivités et syndicats ne pourront déroger à la GDPR (General Data Protection Regulation) sous peine de sanctions.
Obligations pour les entreprises
La Protection, maître-mot de cette nouvelle réglementation, se devra d’être intégrée par l’ensemble des structures accumulant des données personnelles. Celles-ci devront mettre en place une « réelle » politique de protection des données personnelles aussi bien « client » que « corporate ». Cette politique devra s’appuyer sur des processus précis et ainsi être associée, en amont, aux projets utilisant ces données. De manière globale, l’ensemble du cycle de vie de la donnée sera soumis à des normes de sécurité strictes. La protection des données ne pourra plus être considérée comme facultative et devra être intégrée au cœur des projets et initiatives.
Principe fondamental de ce règlement européen :
Le consentement de la personne.
Les différentes structures ne pourront traiter des informations sur autrui — conservation, utilisation, revente, analyse, etc… — si celles-ci ne visent pas leur intérêt général ou n’ont pas de motif légitime. Pour cela, chaque société devra être en mesure de prouver qu’il y eu consentement pour l’obtention mais aussi pour l’utilisation de ces données. De ce fait le profilage, même automatisé, se devra de respecter ce principe légal de base, qui est le consentement. Parallèlement les processus bénéficiant d’une I.A. (intelligence artificielle) ne pourront déroger à ce principe.
Déjà mis en place dans la justice française, le droit à l’oubli intègre maintenant la GDPR (General Data Protection Regulation) et ainsi garantit aux individus une « réelle » suppression de leurs données, si souhaité. Pour ce faire, chaque personne voulant faire valoir son droit à l’oubli devra soumettre une demande, avec motif légitime, pour voir les données supprimées sous 30 jours.
Cette nouvelle réglementation sur les données personnelles inclue de nouveaux services aux personnes, comme la portabilité des données entre les sociétés. Déjà utilisé dans de nombreux domaines d’activités, le transfert de dossiers d’une entité à une autre sera désormais possible pour les informations personnelles. En clair, une personne pourra avoir accès à ses informations personnelles de façon rapide, mais aussi demander à une entreprise de transférer ses dernières à une autre entreprise.
L’un des changements majeurs de cette restructuration de la gestion et de la sécurité des données personnelles sur lequel il est important de s’arrêter, est la nomination d’un DPO (Data Privacy Officer), imposée à toutes les administrations publiques, ainsi que les entreprises en charge d’une grande quantité de données personnelles. Parmi les différentes tâches effectuées par le DPO, nous pouvons mettre en avant une fonction informatrice envers l’ensembles des collaborateurs sur les nouvelles règles en vigueur, la supervision du suivi des projets en conformité avec la GDPR et d’être l’agent de liaison avec les autorités de contrôle.
N’oublions pas de noter que cette nouvelle règlementation s’inscrit dans un réel processus de gestion des données personnelles et que la CNIL (Commission Nationale de l’information et de la liberté) pourra administrer une amende allant jusqu’à 4% du chiffre d’affaires annuel global de l’entreprise, si un des principes (présentés ci-dessous) n’est pas respecté.
Tableau explicatif des sanctions administrées
Relation de confiance
L’apparition de cette nouvelle réglementation pourrait apporter au client un œil nouveau sur la gestion, mais surtout sur la sécurité de leurs données personnelles par les entreprises. Une confiance, depuis longtemps, mise à rude épreuve par la non transparence des entreprises sur l’utilisation et l’exactitude de ces dernières, poussant un grand nombre de personnes à faire valoir leur droit à l’oubli. Ce nouveau texte a ainsi pour vocation première de renforcer les droits des résidents européens, mais vise également à améliorer le climat de confiance entre ces deux parties.
Pouvant apparaître comme un frein au premier abord, cette nouvelle réglementation apparaît comme une réelle opportunité pour les entreprises et pourrait bien relier cette confiance jadis oubliée.
COFAG & Associés mettra donc un point d’honneur à respecter cette nouvelle réglementation.
Laisser un commentaire