GDPR : les points clés

Qu’est-ce que le GDPR, la nouvelle législation européenne? Suis-je concerné au Québec? Quels sont les effets et pour qui?

L’histoire remonte à 2012. La Commission européenne entreprend alors des projets de réforme de la protection des données. Ces projets ont abouti quatre ans plus tard à un accord dont le but est l’instauration d’un règlement général sur la protection des données obligatoire à l’ensemble de l’Union Européenne. Abrévié GDPR (General Data Protection Regulation), l’application officielle du règlement fait couler beaucoup d’encre. Cette législation inquiète ce que l’on pourrait désigner comme l’industrie des données, mais elle concerne aussi, plus largement, n’importe quelle compagnie manipulant des données d’utilisateurs européens.

Le GDPR en quelques mots

Le but du GDPR est de donner aux citoyens de l’UE davantage de contrôle sur leurs données personnelles. Le besoin d’une législation est justifié par la croissance drastique de l’économie numérique et de l’utilisation d’Internet. Selon ses concepteurs, le GDPR constitue davantage une mise à niveau qu’une législation de rupture.Les concepts à retenir pour comprendre le GDPR sont 1) les données personnelles, 2) la vie privée ainsi que 3) le consentement. C’est à travers ce prisme qu’un cadre permettant aux entreprises de s’adapter à la nouvelle législation se doit d’être construit.

Suis-je concerné ?

GDPR s’applique à toute organisation qui opère au sein de l’UE et toutes les organisations qui offrent des biens ou des services à des clients ou des entreprises dans l’UE. Deux types différents d’acteurs sont directement impliqués par la législation : les « sous-traitants » (processor) et les « responsables » (controller). Un responsable détermine les finalités et les moyens du traitement des données personnelles, tandis que le sous-traitant effectue un travail au nom du responsable. Les responsables sont obligés de s’assurer que tous les contrats avec les sous-traitants sont en conformité avec le GDPR. La distinction est importante, car les deux acteurs ont dorénavant des responsabilités et obligations différentes.

Qu’entend-on par données personnelles ?

Outre les exemples classiques comme le nom, l’adresse et les photos, le GDPR comprend également comme donnée personnelle l’adresse IP et toute information permettant d’identifier de manière unique un individu. La plupart d’entre nous seraient surpris de voir à quel point peu d’information suffit pour nous identifier. La question à savoir comment cela sera compris reste donc entière.

Quels seront les effets du GDPR ?

Du point de vue européen, la Commission européenne affirme qu’en disposant d’une autorité de surveillance unique pour l’ensemble de l’UE, il sera plus simple et moins coûteux pour les entreprises d’opérer dans la région. En effet, la Commission affirme que le GDPR économisera 2,3 milliards d’euros par an en Europe.1Du point de vue des organisations, elles seront encouragées à adopter des techniques comme la « pseudonymisation » afin de bénéficier de la collecte et de l’analyse de données personnelles tout en protégeant la privée de leurs clients.2 La pseudonymisation est à distinguer de l’anonymisation, puisque les données restent personnelles et potentiellement réidentifiables. De plus, les organisations seront tenues de signaler toute violation susceptible de porter atteinte aux droits et libertés des individus.Du point de vue des citoyens, les changements majeurs sont le droit de savoir quand et de quelle manière des données les concernant sont piratées, le droit de consentir plus explicitement à l’utilisation de ses données et le droit à pouvoir retirer ses données.

Quels sont les mécanismes pour faire respecter le GDPR ?

Le non-respect de GDPR peut entrainer une amende allant de 10 millions d’euros à 4% du chiffre d’affaires global annuel de l’entreprise, un chiffre qui, pour certains, pourrait signifier des milliards.3Les amendes dépendront de la gravité de l’infraction et de la proactivité de l’entreprise par rapport à la conformité au GDPR.

Une nouvelle profession en protection des données ?

Le GDPR aura vraisemblablement une incidence au niveau des postes et responsabilités au sein de certaines organisations. Selon les termes du GDPR, une organisation doit nommer un délégué à la protection des données (DPD) si elle effectue un traitement à grande échelle de données. Bien que les organisations autres que celles susmentionnées4 ne soient pas tenues de désigner un DPD, toutes les organisations devront s’assurer qu’elles ont les compétences et le personnel nécessaires pour être conformes à la législation GDPR. Ainsi, une nouvelle voie s’ouvre, qui mènera possiblement à l’éclosion d’une nouvelle profession.

Questions et réponses avec Nicolas Duperré

Vous êtes préoccupés par les approches Agile et DevOps comme beaucoup d’autres dirigeants TI? Développer de nouveaux projets fait partie de votre quotidien? Ce qui suit pourrait grandement vous intéresser.

Lire plus »
ordinateur quantique

L’informatique quantique pour les nuls

On entend beaucoup parler d’intelligence artificielle, mais un sujet commence à émerger de plus en plus : l’informatique quantique. S’il est assez intuitif que les ordinateurs quantiques pourraient surpasser les ordinateurs traditionnels, il est un peut-être un peu moins évident d’élaborer sur la question.

Lire plus »

Professionnels TI : Comment tirer profit de l’automatisation de vos tâches ?

Le marché du travail change et l’automatisation a la belle part dans ce contexte. Bien que tout le monde s’accorde sur la part grandissante de l’automatisation, notre perception est teintée tantôt d’optimisme, tantôt de crainte. Le minimum qu’on puisse dire est que le progrès permis par l’automatisation bouleverse les rôles que nous assumons dans nos métiers. 

Lire plus »

Questions et réponses avec Erika Rosenberg

Erika Rosenberg, Ph.D., est une sommité internationale de l’étude des expressions faciales.  Ayant publié bon nombre de livres et articles, elle forme régulièrement des professionnels de l’animation et des jeux vidéo

Lire plus »

Partager cet article

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email