Qu’est-ce que le GDPR ?

Le GDPR (General Data Protection Regulation) est un nouveau règlement qui unifie et harmonise les lois de protection des données à l’échelle de l’Union Européenne. Le GDPR, qui remplacera toutes les directives actuelles, sera applicable dès le 25 mai 2018 dans tous les États membres.

Pourquoi une nouvelle réglementation relative à la protection des données ?

Avec des menaces croissantes en matière de violation de protection des données et face à l’explosion du nombre des cyberattaques, la réglementation doit à tout prix prévenir la perte de données personnelles en améliorant la sécurité des systèmes hébergeant des informations concernant des citoyens et des entreprises membres de l’Union Européenne. Il s’agit en clair d’adapter le cadre législatif aux nouvelles formes de risques. En permettant au droit d’évoluer plus rapidement, en demandant en outre aux entreprises de prendre les mesures idoines, le droit garantira un meilleur niveau de protection des organisations et des personnes.

GDPR : pour quelles entreprises ?

La loi s’appliquera à toute société traitant des Informations Personnelles Identifiables (PII) concernant des résidents de l’Union Européenne ; C’est-à-dire, toutes les entreprises membres de l’Union Européenne et les sociétés hors UE qui stockent et traitent des données relatives aux citoyens membres de l’UE.

Quels sont les changements concernant la protection des données ?

  1. La définition de « Donnée personnelle » va être étendue pour inclure davantage d’informations dans sa définition et son périmètre opérationnel
  2. L’application de la loi est élargie aux entreprises hors UE qui traitent des données concernant des membres de l’UE
  3. Les solutions techniques choisies en matière de conception et d’hébergement de sites web et d’applications mobiles doivent désormais respecter la réglementation dès sa conception (Privacy By Design)
  4. L’introduction d’études d’impacts sur la protection des données sera rendue obligatoire (Data Protection Impact Assessments)
  5. De nouvelles règles seront publiées concernant l’obtention d’un consentement d’exploitation et de stockage de données relatives aux adultes et aux enfants de moins de 16 ans
  6. La nomination d’un agent de protection des données (DPO – Data Protection Officer) sera obligatoire pour certaines entreprises
  7. De nouvelles exigences en matière de notification de violation de données seront édictées
  8. Des extension sensibles concernant les droits des individus sur leurs données seront proposées :
    • Accès aux données
    • Obtention de copies de données
    • Rectification de données
    • Restriction de traitement concernant une partie ou toutes les données
    • Suppression du consentement opérant sur une partie ou la totalité des données
    • Droit à l’oubli
  9. De nouvelles restrictions relatives au transfert et au partage de données personnelles seront édictées
  10. On assistera à une hausse du niveau de responsabilité du « processeur » de données personnelles
  11. Le Règlement GDPR imposera aux entreprises de documenter et de sauvegarder des informations relatives aux personnes vivantes identifiables, mais également de pouvoir prouver la validité, la conformité et la pertinence des ces informations.

Quelles sanctions sont encourues par une entreprise qui ne respecterait pas la nouvelle réglementation ?

Cette nouvelle réglementation est associée à des sanctions bien plus sérieuses que précédemment, notamment des amendes pouvant aller jusqu’à 4% du chiffre d’affaires de l’entreprise contrevenante.

Quelles implications pour les applications mobiles ?

Chez Wopata nous prenons à coeur la protection des données personnelles des utilisateurs. Nous travaillons sur ce sujet à sa source, en respectant la confidentialité des données et leur sécurisation dès les étapes de conception de nos solutions. La nouvelle réglementation GDPR constitue un enjeu de taille et nous accompagnons nos clients afin de garantir le respect total de la loi pour leurs sites web et leurs applications mobiles.