Réglementation générale sur la protection des données (GDPR)

Andrew Dancy

Par Andrew Dancy

Publié

Mis à jour

Voyez comment je suis qualifié pour écrire cet article

Le Règlement général sur la protection des données (" GDPR " en abrégé) a récemment fait la une des journaux. Mais quelles sont les nouvelles règles et comment affectent-elles votre entreprise?

L'arrière-plan

En 1995, la Commission européenne a publié la directive sur la protection des données . Tous les États membres de l'UE devaient mettre en œuvre leur propre législation en matière de protection des données afin de garantir la protection appropriée des données à caractère personnel de leurs citoyens et de garantir aux citoyens le droit spécifique de pouvoir exiger que ces données soient corrigées ou supprimées le cas échéant.

Cependant, au cours des années suivantes, le développement rapide des médias sociaux, des smartphones et l'évolution constante d'Internet ont montré que les protections juridiques existantes n'étaient pas adéquates. En conséquence, la Commission européenne a proposé un nouveau règlement - le règlement général sur la protection des données. Contrairement à la précédente directive sur la protection des données, qui permettait aux différents membres de l'UE d'appliquer les règles à leur manière, les règlements GDPR devaient être mis en œuvre en tant que règlement unique à l'échelle de l'UE à une seule date: le 25 mai 2018.

L'un des principaux objectifs du GDPR était d'étendre le régime de protection des données en vigueur en Europe afin de garantir à tous les citoyens de l'UE le même niveau de protection, que leurs données soient traitées ou traitées par une entreprise de l'Union ou des entreprises non européennes. La commission a déclaré que son objectif était de faire en sorte que tous les citoyens disposent d'un ensemble standard de "droits numériques" à une époque où les données à caractère personnel étaient de plus en plus essentielles à l'économie numérique de l'avenir.

Pourquoi le GDPR est-il important?

Le GDPR est important pour toutes les entreprises en raison de la portée étendue du règlement mais également en raison des lourdes pénalités imposées en cas de non-conformité. En cas d'infraction grave, les amendes peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires global .

Le GDPR étend également la portée de la responsabilité potentielle pour toute violation de données. Auparavant, il y avait une distinction entre les "contrôleurs" de données qui possédaient réellement des données et les "processeurs" de données auxquels le contrôleur avait fait appel pour faire quelque chose avec ces données. Les premiers pourraient être tenus responsables de toute perte ou utilisation abusive de données à caractère personnel, mais pas les seconds. Toutefois, en vertu du GDPR, le contrôleur et le processeur seront conjointement et solidairement responsables. Cela signifie que l'une ou l'autre ou les deux parties peuvent être poursuivies par les personnes concernées ou recevoir une amende des autorités de réglementation.

Étant donné que de nombreuses entreprises du secteur des technologies sont probablement des transformateurs, cela signifie qu’en vertu du RGPD, ces entreprises auront désormais un passif potentiel qu’elles n’avaient pas auparavant!

Qu'est-ce que le GDPR nécessite réellement?

Le GDPR établit un certain nombre d'obligations pour quiconque contrôle ou traite des données. Il ne s’agit pas d’un guide exhaustif, mais les exigences de base sont les suivantes:

  • Sachez quelles données vous contrôlez et d'où vous les avez obtenues
  • Pour toutes les données que vous contrôlez ou traitez, assurez-vous de le faire "de manière licite"
  • Prenez des mesures appropriées pour protéger les données que vous contrôlez ou traitez et pour minimiser les risques pour ces données
  • Lorsque vous sous-traitez un traitement de données que vous contrôlez, vous devez vous assurer que le processeur fonctionne selon des normes de protection équivalentes.
  • Lorsque vous détenez des données "personnelles" ou "sensibles", vous devez prendre des mesures supplémentaires pour assurer la protection de ces données. Les données personnelles sont largement utilisées - même une adresse email ou une adresse IP peuvent être considérées comme des données personnelles!
  • Si une personne le souhaite, vous devez fournir rapidement une copie des données que vous détenez sur elles, sous une forme lisible par machine appropriée ("portabilité des données").
  • Lorsqu'une personne le demande, vous devez supprimer toutes les données que vous détenez sur elle (le "droit à être oublié").

"Base légale"

La "base légale" est l’une des parties les plus importantes du RGPD. Essentiellement, les données collectées ou traitées doivent l'être légalement. S'il n'existe aucune base légale, les données ne peuvent pas être collectées ou traitées et doivent être détruites.

Il existe un certain nombre de scénarios différents qui comptent comme base légale:

  • Lorsque l'utilisateur a explicitement consenti à la collecte et au traitement de ses données. Ceci est la base légale la plus courante et est également assez facile à satisfaire. Vous devez indiquer clairement et sans ambiguïté à l'utilisateur quelles données vous allez collecter et pourquoi vous le faites. Vous devez ensuite donner à l'utilisateur la possibilité de choisir cette collection (notez que cette option doit être activée et non désactivée).
  • Où vous devez collecter des données afin de remplir un contrat. Cette base juridique commune devrait également permettre de collecter et de traiter des données dans des situations courantes, telles qu’une boutique en ligne vendant des produits ou des services. Dans cette situation, le client a conclu un contrat en achetant des biens ou des services. Il serait donc légitime de collecter les informations de facturation et d'expédition et de les transmettre à un processeur de carte de crédit, car il est nécessaire de remplir ce contrat. Cependant, l'utilisation de ces données à des fins différentes (telles que le marketing) ne serait pas une base légale, car cela ne serait pas nécessaire pour remplir le contrat.
  • Lorsque requis par la loi. Il peut y avoir des situations où les données doivent être collectées et traitées parce que cela est requis par la loi. Un bon exemple serait que la loi oblige souvent les banques et les institutions financières à conserver certains documents pendant une période allant jusqu'à six ans.
  • Où il y a un intérêt vital. Il est peu probable que le monde des affaires trouve cette base légale, car elle est destinée aux urgences vitales ou mortelles et couvrirait le traitement des données par des institutions telles que les services d'urgence.
  • Lorsque requis pour une tâche publique. Il est également peu probable que cela se produise, car il est prévu de permettre aux ministères ou à d’autres organismes officiels de pouvoir collecter et traiter des données afin de faire leur travail. Les exemples peuvent inclure des cabinets d’avocats qui ont besoin de collecter et de traiter des données afin de fournir un service tel que le recours aux tribunaux.
  • Enfin, il y a «intérêt légitime». C’est délibérément très vague, mais cela permet essentiellement de collecter et de traiter des données s’il ya un intérêt légitime majeur à le faire. Un bon exemple serait si une personne a demandé à une entreprise de ne pas recevoir d'e-mails marketing, il serait donc légitime de conserver son adresse e-mail pour s'assurer que ces derniers ne lui sont pas envoyés au lieu de les supprimer complètement et risquant ainsi de les envoyer par courrier électronique dans le futur. Cependant, il y a une barre très haute pour un intérêt légitime - ce doit être dans l'intérêt supérieur de l'individu et pas seulement parce que cela convient à l'entreprise.

Il convient également de noter que lorsque les données collectées ou traitées sont "sensibles" (essentiellement tout ce qui a trait à la race, la religion, les préférences sexuelles, l'appartenance politique, les dossiers médicaux ou l'appartenance à un syndicat), un ensemble beaucoup plus strict d'exigences de base légale s'appliquent - fondamentalement, vous ne pouvez collecter ou traiter de telles données que si le consentement explicite de l'utilisateur, l'intérêt général du public ou si cela est requis par la loi.

Qu'en est-il de Reincubate?

Pour en savoir plus sur les droits et obligations de Reincubate en vertu du RGPD, veuillez consulter notre politique de confidentialité .

A propos de l'auteur

Andrew Dancy co-founded Reincubate in 2008 and pioneered techniques with recovery of location data from iOS. He sits on the company's board, with a law-tech background and a particular interest in privacy and security.

PDG de Reincubate au Buckingham Palace

Les photos ci-dessus illustrent les membres de l'équipe de Reincubate réunis au Buckingham Palace avec Sa Majesté la reine Elizabeth, après avoir reçu le prix le plus prestigieux du Royaume-Uni pour leur travail avec la technologie Apple. Lisez notre position sur la vie privée, la sécurité et la sûreté .

Pouvons-nous améliorer cet article?

Nous aimons entendre les utilisateurs: pourquoi ne pas nous envoyer un email, laisser un commentaire ou tweet @reincubate?

© 2008 - 2019 Reincubate Ltd. Tous droits réservés. Registered in England and Wales #5189175, VAT GB151788978. Reincubate® is a registered trademark. Confidentialité et modalités. Nous recommandons l'authentification multi-facteurs. Construit avec à Londres.