Le Règlement Général sur la protection des Données, ou GPDR en anglais, est un règlement européen entré en vigueur en 2019 en s’inspirant fortement de la loi française de 1978 sur l’informatique et libertés. Il s’agit en réalité d’un texte d’harmonisation du cadre juridique et légal en Europe sur la gestion des données personnelles et leur traitement.
Outre la protection des données personnelles, de la prise de conscience par les entreprises de l’importance de ces données et de l’ajout de sanctions, le RGPD peut aussi amener de la confiance auprès des utilisateurs finaux.
En quelques points majeurs voici ce qui se cache derrière la RGPD et quelles sont les obligations pour les entreprises :
Maîtrise de la donnée
Avant toute chose, il faut avoir la vue complète sur sa donnée. Concrètement, vous devez savoir où se trouvent les informations de vos clients, dans quels fichiers, hébergés sur quels serveurs… Cela se complique quand vous commencez à utiliser plusieurs outils cloud et plusieurs systèmes de sauvegarde. Au fur et à mesure des années, vous avez recopié ces informations dans différents fichiers, dans différentes plateformes en ligne…
Réversibilité des données
Les personnes peuvent vous demander de transférer les données personnelles (lorsque techniquement possible 😉 ) vers une autre plateforme ou bien de les récupérer.
Règles et application extraterritorialité
Pour faire simple, si vous avez un pied dans l’union européenne, vous devez vous conformer aux règles :
- consentement explicite et positif (pour les cookies, newsletters…)
- le droit à l’effacement
- le droit à ne pas être ciblé par des algorithmes
- notification des autorités en cas de cyberattaque
- désigner un point de contact pour tout sujet relatif à la protection des données (DPO)
Protection des données dès la conception
L’article 25 est intéressant dans le sens où il impose un changement de mentalité dans la conception des projets, qu’ils soient informatiques ou autres. Il faut en effet prendre en compte la sécurité des données dès la réflexion des projets et ainsi inscrire dans le cahier des charges ce qui est envisagé à ce sujet là.
Mais n’oublions pas qu’un des objectifs de cette réglementation est de fournir un cadre légal à l’Europe pour encadrer les GAFAMs et n’empêchera pas la perte / vol de données.
La CNIL vient de mettre en ligne une nouvelle version de son cours (MOOC) sur le sujet. Vous pouvez le découvrir ici. Cela nécessite la création d’un compte pour le suivi et la validation.
Vous pouvez également nous contacter si vous avez des questions ou besoin de conseils.