GDPR : les points clés

L’histoire remonte à 2012. La Commission européenne entreprend alors des projets de réforme de la protection des données. Ces projets ont abouti quatre ans plus tard à un accord dont le but est l’instauration d’un règlement général sur la protection des données obligatoire à l’ensemble de l’Union Européenne. Abrévié GDPR (General Data Protection Regulation), l’application officielle du règlement fait couler beaucoup d’encre. Cette législation inquiète ce que l’on pourrait désigner comme l’industrie des données, mais elle concerne aussi, plus largement, n’importe quelle compagnie manipulant des données d’utilisateurs européens.

Le GDPR en quelques mots

Le but du GDPR est de donner aux citoyens de l’UE davantage de contrôle sur leurs données personnelles. Le besoin d’une législation est justifié par la croissance drastique de l’économie numérique et de l’utilisation d’Internet. Selon ses concepteurs, le GDPR constitue davantage une mise à niveau qu’une législation de rupture. Les concepts à retenir pour comprendre le GDPR sont 1) les données personnelles, 2) la vie privée ainsi que 3) le consentement. C’est à travers ce prisme qu’un cadre permettant aux entreprises de s’adapter à la nouvelle législation se doit d’être construit.

Suis-je concerné ?

GDPR s’applique à toute organisation qui opère au sein de l’UE et toutes les organisations qui offrent des biens ou des services à des clients ou des entreprises dans l’UE. Deux types différents d’acteurs sont directement impliqués par la législation : les « sous-traitants » (processor) et les « responsables » (controller). Un responsable détermine les finalités et les moyens du traitement des données personnelles, tandis que le sous-traitant effectue un travail au nom du responsable. Les responsables sont obligés de s’assurer que tous les contrats avec les sous-traitants sont en conformité avec le GDPR. La distinction est importante, car les deux acteurs ont dorénavant des responsabilités et obligations différentes.

Qu’entend-on par données personnelles ?

Outre les exemples classiques comme le nom, l’adresse et les photos, le GDPR comprend également comme donnée personnelle l’adresse IP et toute information permettant d’identifier de manière unique un individu. La plupart d’entre nous seraient surpris de voir à quel point peu d’information suffit pour nous identifier. La question à savoir comment cela sera compris reste donc entière.

Quels seront les effets du GDPR ?

Du point de vue européen, la Commission européenne affirme qu’en disposant d’une autorité de surveillance unique pour l’ensemble de l’UE, il sera plus simple et moins coûteux pour les entreprises d’opérer dans la région. En effet, la Commission affirme que le GDPR économisera 2,3 milliards d’euros par an en Europe.¹ Du point de vue des organisations, elles seront encouragées à adopter des techniques comme la « pseudonymisation » afin de bénéficier de la collecte et de l’analyse de données personnelles tout en protégeant la privée de leurs clients.² La pseudonymisation est à distinguer de l’anonymisation, puisque les données restent personnelles et potentiellement réidentifiables. De plus, les organisations seront tenues de signaler toute violation susceptible de porter atteinte aux droits et libertés des individus. Du point de vue des citoyens, les changements majeurs sont le droit de savoir quand et de quelle manière des données les concernant sont piratées, le droit de consentir plus explicitement à l’utilisation de ses données et le droit à pouvoir retirer ses données.

Quels sont les mécanismes pour faire respecter le GDPR ?

Le non-respect de GDPR peut entrainer une amende allant de 10 millions d’euros à 4% du chiffre d’affaires global annuel de l’entreprise, un chiffre qui, pour certains, pourrait signifier des milliards.³ Les amendes dépendront de la gravité de l’infraction et de la proactivité de l’entreprise par rapport à la conformité au GDPR.

Une nouvelle profession en protection des données ?

Le GDPR aura vraisemblablement une incidence au niveau des postes et responsabilités au sein de certaines organisations. Selon les termes du GDPR, une organisation doit nommer un délégué à la protection des données (DPD) si elle effectue un traitement à grande échelle de données. Bien que les organisations autres que celles susmentionnées⁴ ne soient pas tenues de désigner un DPD, toutes les organisations devront s’assurer qu’elles ont les compétences et le personnel nécessaires pour être conformes à la législation GDPR. Ainsi, une nouvelle voie s’ouvre, qui mènera possiblement à l’éclosion d’une nouvelle profession.