Le 25 mai 2018 entrera en vigueur le Règlement Général pour la Protection des Données.
L’individu est placé au cœur de ce dispositif européen (consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l’oubli, etc.).
Ainsi sont introduits des devoirs et responsabilités pour toute la chaîne d’acteurs, depuis le responsable de traitement jusqu’aux partenaires commerciaux en passant par les sous-traitants et les fournisseurs de services (responsabilité conjointe des traitements).
Toutes les entreprises, même les plus petites, sont concernées, car toutes collectent et traitent des données à caractère personnel.
Les données personnelles, ce sont les informations qui se rapportent à une personne physique qu’elle soit identifiée ou identifiable par recoupement d’informations, ce sont le nom et le prénom, l’adresse, l’adresse mail, le numéro de téléphone, mais aussi les caractéristiques physiques, culturelles, sociales, les informations relatives à la vie professionnelle, ou les adresses IP, les données de localisation, les identifiants et mots de passe ou encore les habitudes de navigation Internet ou de consommation, etc.
Chaque entreprise devrait mener un audit technique et juridique pour cartographier les traitements et s’interroger sur ses méthodes et usages et notamment :
Quelle est la nature et la finalité des données collectées ?
Comment sont-elles sécurisées ?
Quel est leur niveau d’accessibilité ?
Où sont-elles localisées ?
Quel est leur cycle de vie ?
Existe-t-il des traitements sensibles ?
Etc.
Les sanctions sont lourdes et peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial, le chiffre le plus haut étant retenu...
On en reparlera…