La GDPR : Une nouvelle réglementation portant sur la protection des données à caractère personnel et la vie privée des individus est entrée en vigueur le 25 mai, 2018. Ce nouveau règlement a été mis en place pour remplacer la directive 95/46/CE parue en 1995.
Avant de commencer, que veut-on dire par donnée à caractère personnelle ?
Une donnée à caractère personnel est constituée par toute information qui se rapporte à une personne physique, qu’elle soit identifiée, voire simple identifiable ! Ces informations peuvent se référer à une identité, des coordonnées, une adresse IP, des habitudes de consommation, des données de localisation, des informations relatives à la vie personnelles etc…
L’adoption de cette nouvelle loi dégage une volonté et un souhait de plus de 90% des entreprises européennes, d’avoir une loi commune régularisant cette approche.
Il faut déjà savoir que cette loi est applicable aux entreprises opérants sur le marché européen^ù; et les principaux objectifs relatifs à la mise en place de ce règlement sont comme suit :
- Uniformiser la loi de protection au niveau européen
- Responsabiliser les entreprises
- Renforcer les droits des personnes et redonner aux citoyens le contrôle de leurs données personnelles.
Dans une autre part, la réglementation générale de protection des données présente quatre clés principales dont :
- Le consentement
La notion du consentement se dresse entre les entreprises et les individus, et concerne principalement la partie de la collecte et de traitement des données à caractère personnel.
La particularité de cette clés se présente dans la distinction entre deux modes de traitement : Données B2B & B2C.
- La transparence
La transparence désigne la manière dont les informations et les données seront traitées ultérieurement.
- Le droit des personnes
Le troisième motif est le droit des personnes qui doit être renforcé, principalement pour les résidents européens : accès facilité pour tous les utilisateurs, un droit de l’oubli ou suppression des données, limitation du traitement, et finalement, la récupération des informations ou portabilité des données.
- La responsabilité
Cette loi vise à responsabiliser davantage les entreprises au niveau de traitement des données, ceci peut se traduire par la nécessité de documenter et renforcer les procédures de sécurité, l’encadrement des sous-traitants ainsi que de mettre en place un système de notification en cas de faille sécuritaire.
Concernant les sanctions, liées au non-respect du réglement, la nouvelle loi a défini 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.)
