Protection des données : ce que la GDRP va changer au 25 mai 2018

En 2016, le Parlement européen adoptait l’ensemble des nouvelles dispositions associées à la protection des données. L’échéance fixée au 25 mai 2018 s’approche. Êtes-vous en conformité avec les règles imposées par la GDRP (General Data Protection Regulation) ?

La GDRP est un nouveau règlement européen qui introduit une série de mesures fixant le cadre juridique relatif à la protection des données personnelles au sein de l’Union européenne. Il s’agit de renforcer les droits des citoyens de l’UE et leur accorder plus de contrôle sur leurs données personnelles.

Qui est concerné ?

Ce règlement s’appliquera à toute entreprise amenée à collecter et manipuler les données de ses clients. Les multinationales, mais aussi les PME, les TPE ou les artisans gérant un fichier client.

Quel est le principe ?

Le point majeur concerne le principe du consentement à la collecte et à la conservation des données, une notion qui constitue l’une des spécificités du droit européen. Les données personnelles appartiennent aux citoyens et les entreprises, et notamment les géants américains (Facebook, Google, Apple, Amazon, Microsoft et consorts), ne pourront donc plus arguer d’une présomption de consentement pour justifier de l’utilisation des infos de leurs clients et usagers.

Concrètement, que prévoit la GDRP ?

Les entreprises devront désormais fournir des informations précises sur leur pratique de collecte et de conservation des données personnelles. Les usagers disposeront de plus d’informations sur la façon dont leurs données sont traitées. Des informations qui devront en outre être formulées de manière claire et précise dans un souci de transparence.

Les obligations imposées aux entreprises

Si le GPRD simplifie globalement les formalités administratives, il impose un certain nombre de contraintes aux entreprises :

  • Respect de la protection des données dès la conception (article 25 §1)
  • Obligation de sécurité par défaut (article 25 §2)
  • Obligation de documentation (article 24);
  • Étude d’impact avant la mise en œuvre de certains traitements (article 35);
  • Obligation de nommer un délégué à la protection des données ou "Data Protection Officer" (article 37), garant des moyens mis en œuvre par l’entreprise.

Que faire en cas d’incident touchant les données clients ?

Tout incident susceptible d’avoir compromis l’intégrité de données des clients de l’entreprise doit être déclaré officiellement à la CNIL dans un délai de 72 heures. Cette tâche incombe au Data Protection Officer désigné par l’entreprise.

Quelles sanctions en cas d’infraction ?

Le législateur a prévu un arsenal de sanctions administratives en cas de non-respect de la réglementation, allant du simple avertissement à une amende d’un montant pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise en cas d’infraction aux règles applicables au consentement ou d’infraction aux transferts de données personnelles hors de l’Union Européenne.