Contenu
- Où s'applique-t-il et quel est l'impact?
- Comment les entreprises démontrent-elles leur conformité au GDPR?
- Il s’agit de protéger les droits des individus en matière de confidentialité des données!
Source: Stanislau V / Dreamstime.com
À emporter:
Ce n’est pas parce que votre entreprise n’est pas basée dans l’UE que le RDPP ne s’applique pas à vous. Toute entité traitant les données de citoyens de l'UE est soumise à ce règlement.
Beaucoup ont entendu parler de l'acronyme «GDPR», mais ne comprennent pas le règlement ou estiment qu'il ne s'applique pas à leur organisation puisqu'il s'agit d'une loi de l'Union européenne. Étonnamment, même en l’absence de sites ou d’affiliations dans l’Union européenne, les entreprises établies aux États-Unis peuvent être passibles de lourdes amendes pour non-conformité.
En plus du risque de porter atteinte à la réputation, le non-respect du RGPD peut avoir des conséquences financières importantes. Les autorités de contrôle de la protection des données peuvent imposer des amendes administratives pouvant aller jusqu'à 20 millions d'euros, soit 4% du chiffre d'affaires mondial total. Cela devrait susciter des inquiétudes et faire de la conformité au RGPD une importance capitale pour le leadership organisationnel. (Le non-respect du RGPD peut également faire de vous une cible de la cybercriminalité. Pour en savoir plus, consultez Comment les cybercriminels utilisent le RGPD comme un levier pour extorquer des sociétés.)
Où s'applique-t-il et quel est l'impact?
Le règlement général sur la protection des données (GDPR), mis en place par l'Union européenne le 25 mai 2018, vise à garantir que les organisations protègent de manière adéquate le droit à la vie privée des personnes concernant le traitement des données à caractère personnel. Il s’agit du changement le plus important en matière de confidentialité des données dans l’Union européenne depuis plus de 20 ans.
Le RGPD s’applique à toutes les organisations ayant un établissement dans l’UE, mais il marque également une expansion significative de la portée territoriale du régime de protection des données de l’UE. Cette portée extraterritoriale est déclenchée si les entreprises remplissent une ou plusieurs des conditions suivantes:
- Des biens et services sont offerts aux citoyens de l'UE
- Le comportement des citoyens de l'UE est surveillé (par exemple, en utilisant des cookies sur des sites Web)
- Les données à caractère personnel sont traitées dans le contexte d’un établissement (par exemple une filiale) dans l’UE
Comment les entreprises démontrent-elles leur conformité au GDPR?
Le GDPR énonce sept grands principes que toutes les organisations sont tenues de respecter lors du traitement de données à caractère personnel:
La responsabilité est l’une des nouvelles exigences les plus importantes du RGPD. La responsabilité signifie que l'organisation doit démontrer qu'elle peut se conformer au RGPD. Les entreprises doivent être en mesure de démontrer leur conformité pour satisfaire à l'exigence de responsabilité, qui comprend:
- Nommer un responsable de la protection des données ou un représentant local, si nécessaire
- Compléter et tenir à jour des registres des activités de traitement de données
- Évaluer le niveau approprié de sécurité des données et mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées
- Mise en œuvre de la protection des données dès la conception et par défaut et documentation des mesures prises; réalisation d'études d'impact sur la protection des données, le cas échéant
Il s’agit de protéger les droits des individus en matière de confidentialité des données!
Le GDPR définit les «personnes concernées» comme des «personnes physiques identifiées ou identifiables». En d'autres termes, les citoyens de l'UE qui peuvent être des employés, des clients, des fournisseurs ou d'autres personnes auprès desquelles ou à propos desquelles les entreprises collectent des informations relatives aux activités et / ou aux opérations. Le GDPR définit également certains droits pour ses personnes concernées:
Les organisations devraient avoir mis en place des procédures pour répondre aux demandes de données relatives aux droits mentionnés ci-dessus. La base juridique, le traitement des données ou d'autres facteurs déterminent la manière dont votre organisation répond à un DSR. Il est donc essentiel de consulter des professionnels du droit ayant une expertise du RGP. (La protection des données client est primordiale dans le GDPR. Pour en savoir plus, reportez-vous à La section intitulée Vos données client est-elle vraiment sécurisée? Comment cela peut-il être exposé?)