Le GDPR est un règlement qui oblige les entreprises à protéger les données personnelles et la vie privée des citoyens de l’UE pour les transactions qui ont lieu dans les États membres de l’UE. Et la non-conformité pourrait coûter cher aux entreprises. Voici ce que chaque entreprise qui fait des affaires en Europe doit savoir sur le GDPR.
Les entreprises qui collectent des données sur les citoyens des pays de l’Union européenne (UE)l doivent se conformer à de nouvelles règles strictes autour de la protection des données des clients. Le Règlement général sur la protection des données (RGPD) établit une nouvelle norme pour les droits des consommateurs concernant leurs données, mais les entreprises devront relever le défi de mettre en place des systèmes et des processus pour maintenir la conformité.
La conformité suscitera quelques inquiétudes et de nouvelles attentes de la part des équipes de sécurité. Par exemple, le GDPR adopte une vision large de ce qui constitue des informations d’identification personnelle. Les entreprises auront besoin du même niveau de protection pour des choses comme l’adresse IP ou les données de cookies d’une personne que pour le nom, l’adresse et le numéro de sécurité sociale. Lire aussi cet article, pour en savoir qui est concerné par rgpd, en cliquant sur avocat rgpd
Qu’est-ce que le GDPR ?
Le Parlement européen a adopté le GDPR en avril 2016, remplaçant une directive sur la protection des données obsolète de 1995. Il comporte des dispositions qui obligent les entreprises à protéger les données personnelles et la vie privée des citoyens de l’UE pour les transactions qui ont lieu dans les États membres de l’UE. Le GDPR réglemente également l’exportation de données personnelles en dehors de l’UE.
Les dispositions sont cohérentes dans les 28 États membres de l’UE, ce qui signifie que les entreprises n’ont qu’une seule norme à respecter au sein de l’UE. Cependant, cette norme est assez élevée et exigera de la plupart des entreprises un investissement important pour s’y conformer et l’administrer.
Pourquoi le GDPR existe-t-il ?
La réponse courte à cette question est la préoccupation du public pour la vie privée. L’Europe en général a depuis longtemps des règles plus strictes sur la façon dont les entreprises utilisent les données personnelles de ses citoyens. Le GDPR remplace la directive européenne sur la protection des données, qui est entrée en vigueur en 1995. C’était bien avant qu’internet ne devienne le centre d’affaires en ligne qu’il est aujourd’hui. Par conséquent, la directive est dépassée et n’aborde pas de nombreuses façons dont les données sont stockées, collectées et transférées aujourd’hui.
À quel point la préoccupation du public concernant la vie privée est-elle réelle ? Elle est significative et elle s’accroît avec chaque nouvelle violation de données très médiatisée. 7 500 consommateurs en France, en Allemagne, en Italie, au Royaume-Uni et aux États-Unis ont été interrogés et 80 % d’entre eux ont déclaré que la perte de données bancaires et financières était une préoccupation majeure. La perte d’informations de sécurité (par exemple, les mots de passe) et d’informations d’identité (par exemple, les passeports ou les permis de conduire) a été citée comme une préoccupation de 76 % des personnes interrogées.
Une statistique alarmante pour les entreprises qui traitent les données des consommateurs est les 62 % des personnes interrogées dans le rapport RSA qui disent qu’elles accuseraient l’entreprise de la perte de leurs données en cas de violation, et non le pirate. Les auteurs du rapport ont conclu que « les consommateurs étant mieux informés, ils attendent plus de transparence et de réactivité de la part des gestionnaires de leurs données. »
Le manque de confiance dans la façon dont les entreprises traitent leurs informations personnelles a conduit certains consommateurs à prendre leurs propres contre-mesures. Selon le rapport, 41 % des personnes interrogées ont déclaré falsifier intentionnellement des données lorsqu’elles s’inscrivent à des services en ligne. Les préoccupations de sécurité, le souhait d’éviter le marketing non désiré ou le risque de voir leurs données revendues figurent parmi leurs principales préoccupations.
Le rapport montre également que les consommateurs ne pardonneront pas facilement à une entreprise une fois qu’une violation exposant leurs données personnelles se produira. Soixante-douze pour cent des répondants américains ont déclaré qu’ils boycotteraient une entreprise qui semble ne pas tenir compte de la protection de leurs données. Cinquante pour cent de toutes les personnes interrogées ont déclaré qu’elles seraient plus susceptibles de faire des achats auprès d’une entreprise qui pourrait prouver qu’elle prend la protection des données au sérieux.
« Alors que les entreprises poursuivent leurs transformations numériques, en utilisant davantage les actifs numériques, les services et le big data, elles doivent aussi être responsables de la surveillance et de la protection de ces données au quotidien », conclut le rapport.
Quels types de données de confidentialité le GDPR protège-t-il ?
- Informations d’identité de base telles que le nom, l’adresse et les numéros d’identification ;
- données web telles que la localisation, l’adresse IP, les données des cookies et les étiquettes RFID ;
- données de santé et données génétiques ;
- données biométriques ;
- données raciales ou ethniques ;
- opinions politiques ;
- orientation sexuelle.
Quelles sont les entreprises concernées par le GDPR ?
Toute entreprise qui stocke ou traite des informations personnelles sur les citoyens de l’UE au sein des États de l’UE doit se conformer au GDPR, même si elle n’a pas de présence commerciale dans l’UE. Les critères spécifiques aux entreprises tenues de se conformer sont :
- une présence dans un pays de l’UE ;
- pas de présence dans l’UE, mais elle traite des données personnelles de résidents européens ;
- plus de 250 employés ;
- moins de 250 employés, mais son traitement des données a un impact sur les droits et libertés des personnes concernées, n’est pas occasionnel ou inclut certains types de données personnelles sensibles. Cela signifie effectivement presque toutes les entreprises. Une enquête a montré que 92% des entreprises considèrent le GDPR comme une priorité absolue en matière de protection des données.
Pour en savoir plus sur la protection des données personnelles et la conformité au RGPD, consultez notre page dédiée à : avocat spécialisé données personnelles.