Qu’est-ce que le Règlement mondial sur la protection des données (RGPD) et comment votre entreprise doit-elle s’y préparer ?
Qu’on soit d’accord avec la décision ou non, le Brexit est en passe de se produire, mais cela signifie-t-il que les petites et moyennes entreprises du Royaume-Uni peuvent désormais ignorer les nouvelles Règlement Général sur la Protection des Données (RGPD) ?
La réponse simple est non.
Peut être.
Jusqu’à ce que le Royaume-Uni finalise son divorce, qui aura lieu au plus tôt en avril 2019, chaque entreprise devra respecter le RGPD dans son intégralité.
À quelques exceptions près.
La mise en œuvre de la réglementation, qui entraînera un changement massif dans la manière dont les données sont traitées, touchera probablement plus durement l'Irlande en raison de sa position plus souple en matière de confidentialité des données, mais toutes les entreprises seront touchées.
Les agences de protection des données, telles que l’Information Commissioner’s Office (ICO) du Royaume-Uni, bénéficieront de nouveaux pouvoirs, leur permettant d’agir contre des organisations du monde entier.
Il est donc important que chaque PME se prépare bien avant la date d’entrée en vigueur de la nouvelle réglementation, le 25 mai 2018.
Quel est l’objet du Règlement Général sur la Protection des Données ?
En 2016, le législateur de l’Union européenne, bien que tardif, a décidé qu’il était temps que la zone euro prenne la protection des données au sérieux.
Par conséquent, il a adopté une nouvelle législation qui impose des normes concernant la collecte et le stockage d’informations personnelles par les contrôleurs de données et les sous-traitants.
Même si l’objectif principal de la nouvelle législation était d’encourager les entreprises de la zone euro à prendre plus au sérieux la protection des données, elle constitue autant un bâton qu’une carotte, obligeant les entreprises à respecter un ensemble de règles strictes.
Quelles sont les exigences du Règlement Général sur la Protection des Données ?
Le nouveau règlement s'appliquera dans toute l'Union européenne, affectant toutes les entreprises qui ont une responsabilité dans le traitement et/ou le stockage d'informations personnelles.
Il vise à promouvoir une approche uniforme en matière d'échange, de stockage et de sécurité des données entre tous les États membres de l'UE.
Le champ d’application du RGPD est vaste, mais il existe certains points clés que toutes les entreprises doivent connaître :
- Depuis mai 2018, tous violations de données doit être signalé à l’ICO. Dans des circonstances idéales, la notification devrait avoir lieu dans un délai de 24 heures, avec l'exigence qu'elle ait lieu dans un délai maximum de 72 heures. Il s’agit d’un changement considérable par rapport à la situation actuelle dans laquelle la notification des violations de données est largement facultative en dehors des autres exigences réglementaires existantes. De plus, si la violation constitue une menace pour la vie privée d’un individu, celui-cidoitsoyez également informé.
- Les citoyens de l’Union européenne verront leurs droits en matière de protection des données considérablement renforcés. Au-delà du consentement éclairé, le règlement offre une protection supplémentaire en termes de droit de retirer à tout moment le consentement à la collecte de données, ainsi que de charge pour les entreprises de détruire les données dont l'utilisation n'est plus autorisée ou dont l'utilisation n'est plus requise. stocké.
- Les citoyens de l’UE auront la possibilité d’exercer un niveau de contrôle beaucoup plus élevé sur leurs propres données, y compris la possibilité de les demander dans un format lisible par machine. Cela signifie que les entreprises pourraient être invitées à fournir de vastes pans d’informations personnelles à des clients qui les transmettraient ensuite à l’un de leurs concurrents.
- Pour certaines grandes entreprises et autorités publiques, la présence d’un délégué à la protection des données deviendra obligatoire. De manière générale, une entreprise de 250 employés ou plus doit employer une personne chargée de veiller à ce que l'entreprise collecte, traite et sécurise les données de manière appropriée.
- Les entreprises de toutes tailles peuvent être punies bien plus sévèrement que dans le cadre de la législation en vigueur. Le bureau du commissaire à l’information du Royaume-Uni a parfois été accusé d’être largement inefficace avec son amende maximale de 500 000 £ – qui est rarement imposée, sauf dans les cas les plus graves. En vertu du RGPD, la sanction maximale en cas de violation des règles de confidentialité s'élèvera à 20 millions d'euros, soit un montant potentiellement bien plus élevé de 4 % du chiffre d'affaires annuel, selon la valeur la plus élevée.
Article similaire:Logiciel de conformité RGPD
La définition des données personnelles au sens du Règlement Général sur la Protection des Données
De la même manière que l'existant Loi de protection des données , le règlement général sur la protection des données précise la manière dont les organisations doivent stocker et traiter les données personnelles.
La différence fondamentale entre les deux, cependant, est que le nouveau règlement européen est beaucoup plus large dans sa définition de ce qui constitue des données personnelles, passant d'une liste spécifique de critères à une notion globale selon laquelle toutes les informations qui pourraient être personnellement identifiables sont en portée.
En pratique, cela signifie que la nouvelle réglementation va au-delà des identifiants évidents tels que les noms et adresses et inclura désormais des informations plus obscures telles que les adresses IP et autres « signatures électroniques ».
Votre entreprise est-elle suffisamment petite pour être exemptée du règlement général sur la protection des données ?
La bonne nouvelle pour de nombreuses PME est que l’UE a reconnu que les risques sont intrinsèquement plus faibles dans les petites entreprises. En tant que tels, ils pourraient ne pas entrer dans le champ d’application du RGPD, même s’il existe quelques réserves.
L'article 30 du nouveau règlement stipule qu'une organisation est exonérée si :
- Elle emploie moins de 250 personnes, mais cela ne le reste que si elle ne traite pas les informations personnelles d'une manière qui pourrait présenter un quelconque niveau de risque pour ceux dont elle détient les données.
- Il ne traite pas ces données de manière fréquente et n'implique pas des types spécifiques de données qui font l'objet d'une attention particulière, telles que les données sur les condamnations pénales.
Si cela semble déroutant – et jusqu’à ce qu’un délinquant doive répondre à une affaire, ce n’est certainement pas clair. Le Bureau du commissaire à l’information a publié des directives générales indiquant que le RGPD s’appliquera probablement aux entreprises qui ont déjà des engagements en vertu de la loi sur la confidentialité des données.
Comment vous assurez-vous que votre entreprise est conforme au nouveau règlement général sur la protection des données ?
La bonne nouvelle ici est que la plupart des entreprises qui entrent dans le champ d'application du RGPD seront déjà sur la bonne voie pour se mettre en conformité car elles auront déjà assuré qu'elles sont en conformité avec les exigences de la loi sur la protection des données.
Si vous ne savez pas si votre entreprise doit se conformer au RGPD, si vous pensez qu'elle devra peut-être le faire à l'avenir, ou si vous souhaitez simplement agir de manière éthique ou respectueuse de la vie privée, les étapes suivantes vous mettront sur la bonne voie :
- Faites une distinction claire entre ce qui constitue des données commerciales et ce qui pourrait être considéré comme des informations personnelles. Assurez-vous que ces derniers sont traités et stockés en toute sécurité.
- Veiller à ce que toutes ces mesures de sécurité soient examinées et évaluées périodiquement et que les améliorations potentielles soient identifiées et mises en œuvre.
- De même, envisagez le recours à des évaluations régulières des facteurs relatifs à la vie privée et agissez en fonction des résultats.
- Si la taille ou la nature de l’entreprise l’exige, installez un délégué à la protection des données. Sachez que cette exigence du RGPD entraînera une vague de recrutement dans ce domaine, alors agissez le plus tôt possible pour garantir la conformité.
- Les violations de données constituent un risque commercial très réel, alors assurez-vous que votre équipe sait quoi faire si cela se produit. Mettez en place un plan de réponse aux incidents, ainsi que des plans de continuité des activités et de reprise après sinistre. Organisez des exercices réguliers pour que chacun connaisse son rôle et assurez-vous que quelqu'un a la responsabilité clairement définie d'informer l'ICO dans le délai maximum de 72 heures pour signaler les violations.
- Enfin, réfléchissez attentivement aux avantages et aux inconvénients de l’obtention d’une certification relative à la confidentialité comme moyen de prouver la conformité au RGPD. Ce domaine est encore immature, alors assurez-vous de faire preuve de diligence raisonnable avant d’échanger de l’argent contre quelque chose qui n’a peut-être aucune valeur commerciale réelle.
Il est temps de prendre la vie privée au sérieux
Même si votre entreprise est trop petite pour relever de la compétence du règlement général sur la protection des données, vous devriez quand même envisager de vous conformer.
D’une part, les grands partenaires, sociétés affiliées, fournisseurs et clients peuvent exercer des pressions pour minimiser leurs propres risques en tant que contrôleur de données.
De plus, les exigences ne sont pas trop ardues et représentent de bonnes pratiques commerciales. Le coût de leur mise en œuvre ne devrait pas être trop élevé, tandis que les dommages causés à la clientèle à la suite d'une violation pourraient être très préjudiciables si l'inverse était vrai.
Ainsi, le règlement général sur la protection des données est une règle de l’UE qui est sensée d’un point de vue commercial, au moins jusqu’à ce que le Royaume-Uni reçoive son décret en 2019, et très probablement pendant de nombreuses années par la suite.
Drapeaux de l'Union européenne par futuratlas sous licence CC PAR 2.0