> Janvier 2017

Cap vers la réforme des données personnelles

La nouvelle législation européenne – ou General Data Protection Regulation (GDPR) – entrera en vigueur en mai 2018. Tour d’horizon de ce que vous devez dès à présent savoir sur ce changement de cadre juridique.

GDPR : kesako ?
Entrée en vigueur en avril dernier, et publiée au Journal officiel de l’Union européenne le 4 mai, la réforme du droit de la protection des données personnelles entrera en vigueur le 25 mai 2018. Il vous reste donc un peu plus d’une année pour adapter votre politique de gouvernance en la matière.
Le développement des réseaux sociaux ainsi que l’apparition du cloud, privé et public, ont nécessité une révision de la législation antérieure. Le GDPR doit ainsi simplifier et harmoniser la protection des données au sein des 28 pays de l’UE, et clarifier les obligations des entreprises collectant, gérant ou stockant des données.
À noter que ce règlement s’applique également aux entreprises et sous-traitants non établis dans l’UE, dès lors que leurs activités concernent l’offre de biens ou de services de personnes résidant au sein de l’Union européenne.

Quelles obligations pour les entreprises françaises ?
Dès à présent, et à compter du 25 mai 2018 sous peine de sanctions, les entreprises devront obligatoirement informer leurs clients de leur politique en vigueur en matière de protection des données. Ces derniers auront en effet le droit de demander la restitution de leurs données dans un format simple et transférable sur le web, une rectification des informations les concernant en cas d’inexactitude ou d’erreur (déjà en vigueur en France), l’effacement de leurs données (ou droit à « l’oubli numérique », sauf quelques exceptions), ainsi que le transfert de ces données vers de nouveaux prestataires.
Il est également nécessaire de rappeler que toute entreprise doit s’engager à protéger les données de l’internaute et à réaliser une étude d’impact en cas de traitements des données à risque (données sensibles, telles que les données génétiques, biométriques, etc.).
Attention dès lors, si ce n’est pas déjà fait, à sensibiliser vos prestataires à cette nouvelle législation. Car en cas de fuite de données personnelles, vous encourez une amende pouvant atteindre 4 % de votre chiffre d’affaires.

Comment s’assurer que son entreprise est en conformité avec le GDPR ?
Pour vérifier que votre structure informatique répond bien aux exigences de la loi, reprenez tous vos contrats passés avec vos prestataires informatiques, notamment s’ils vous fournissent un accès au cloud. Une fois toutes les vérifications opérées, en interne et en externe, vous pourrez demander un certificat européen, d’une durée de cinq ans, attestant de la conformité de votre entreprise.

Pour aller plus loin : www.cil.cnrs.fr