On a beaucoup parlé de la façon dont les choses allaient changer après l’entrée en vigueur du GDPR, mais qu’est-ce qui a changé et qu’est-ce qui n’a pas changé depuis l’introduction de la loi en mai 2017 ? Sources : 11,2]
Après quatre ans de négociations et de débats, la loi sur le Règlement général sur la protection des données (RGPD) de l’Union européenne a abouti à une loi qui vise à réviser l’ensemble du cadre européen de protection des données. Le règlement ePrivacy a été adopté par l’UE et devait initialement être mis en œuvre en 2018, mais il est désormais prévu pour 2019. Cela a conduit de nombreux commentateurs à recommander aux États-Unis d’adopter cette loi, qui s’inspire de la loi américaine sur la protection de la vie privée et les droits civils (HIPAA), entrée en vigueur le 25 mai 2018. Mais même dans l’éventualité d’un tel accord, le gouvernement britannique actuel a déclaré que le GDPR resterait en vigueur. [Sources : 12,1,2,2]
Découvrez nos solutions sans obligation d’achat
Les lois européennes et britanniques sur la protection des données seront alignées pendant la période de transition et le GDPR est un « règlement européen. » Les entreprises britanniques qui font des affaires en Europe doivent donc se conformer au règlement européen sur la protection des données (EPR) et au règlement sur la vie privée en ligne (ePrivacy). [Sources : 6,6]
En général, l’archivage sera autorisé en vertu de la loi sur la protection des données de 1998, même dans le cadre de la nouvelle loi, mais cela signifie que les services d’archivage ne pourront plus accéder aux données personnelles contenues dans les archives sans procéder à un examen complet du statut de protection de leurs données. Pendant que vous êtes en phase de développement, vous pouvez à nouveau apporter des modifications au projet sans examen, il y aura un examen pour déterminer si ces modifications peuvent avoir un effet négatif sur vos données, et il est utile pour votre service de le rappeler aux utilisateurs, car l’avis doit modifier leurs références aux modifications du règlement européen sur la protection des données (EPR) ou du règlement ePrivacy. Sources : 3,3,3,7]
Bien qu’il reste à voir comment les différents États membres de l’UE appliqueront les amendes, si votre organisation n’a pas fait de progrès pour se conformer au GDPR, la sanction sera élevée. À l’inverse, vos actions en mai 2018 seront bien sûr mesurées à l’aune du GDPR et du régime de sanctions qui y est en vigueur. Même si vous vous êtes mis en conformité avec le GDPR au moment de son entrée en vigueur le 25 mai 2018, les entreprises peuvent facilement oublier que la protection des données est une préoccupation permanente qui doit être revue en permanence. [Sources : 4,13,2,8]
En appliquant la protection des données dès la conception aux projets existants, vous pouvez tester la facilité d’accès aux anciennes données. Les archivistes peuvent-ils se référer au Code de conduite de l’archiviste gestionnaire de documents, qui a été adopté dans le cadre de la loi sur la protection des données de 1998 ? Sources : 9,3]
Aux États-Unis, par exemple, il n’existe pas de loi qui s’applique aux actes qui ont eu lieu avant l’entrée en vigueur de la loi. Par exemple, si vous êtes aux Etats-Unis depuis plus de six mois, en vertu de la loi sur la protection des données de 1998, vous serez condamné à une amende pouvant aller jusqu’à 5 000 dollars pour chaque violation, ou 1 million de dollars pour un total de 3 500 dollars par violation. Sources : 10,5]
Si votre entreprise a déjà de l’expérience dans le traitement ou le commerce avec des citoyens de l’UE, vous pouvez supposer que le GDPR s’applique et investir dans la conformité de vos entreprises. Sources : 5]
Investir dans la conformité vous aidera également à vous positionner en tant que défenseur de la vie privée et vous protégera contre d’éventuelles sanctions. En outre, le GDPR définit un cadre réglementaire global qui va bien au-delà de toute sorte de droits et d’obligations. Le GDPR donne aux personnes concernées des droits étendus en ce qui concerne la manière dont leurs données sont traitées et la possibilité de contrôler leur utilisation. Par conséquent, rien ne garantit dans les pays de l’UE que le consentement au traitement des données est toujours respecté par le traitement des données, qui est autorisé par le droit européen ou même par la Convention européenne des droits de l’homme. Par exemple, en vertu du droit européen, il est difficile de prouver que les travailleurs peuvent donner leur consentement gratuitement, même si le consentement est une exigence professionnelle, par exemple dans le cas du contrat de travail d’un employé. [Sources : 12,2,1,1]
Le formulaire standard est conçu pour garantir que vos enregistrements sont suffisants pour prouver l’existence d’une base juridique. Par exemple, vous pouvez utiliser une base de tâche publique si vous êtes contrôlé par les autorités et si vous pouvez prouver que le traitement est nécessaire à l’exécution d’une tâche en vertu du droit britannique. [Sources : 0,0]
Le GDPR et la loi sur la protection des données de 2018 ne collectent pas les données manuelles et non structurées, la FOI et les autorités. Par conséquent, le GDPR ne devrait généralement pas s’appliquer aux données collectées par le gouvernement britannique ou toute autre autorité gouvernementale ou autorité au Royaume-Uni. Sources : 3,10]
Si le consentement a été obtenu dans le passé mais n’a pas été enregistré, l’organisation doit rapidement vérifier si le consentement peut encore être confirmé et stocké comme preuve. Si ce n’est pas le cas, il est logique de mettre en œuvre l’EFDP rétroactivement. Le risque pour la personne concernée est que les données soient utilisées à mauvais escient, que l’on y accède ou qu’elles soient violées de diverses manières, par exemple par un accès non autorisé, une utilisation abusive ou une mauvaise utilisation des données. Sources : 4,4,9]
Sources :
- [0] : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/
- 1] : https://www.govtech.com/analysis/gdpr-in-the-us-be-careful-what-you-wish-for.html
- 2] : https://www.roxburghmilkins.com/latest/blog-articles/general-data-protection-regulation-gdpr-a-12-month-retrospective
- [3] : http://www.nationalarchives.gov.uk/archives-sector/legislation/archives-data-protection-law-uk/gdpr-faqs/
- [4] : https://gdpr-expert.org/retroactive-effect-and-the-gdpr/
- [5] : https://www.trendmicro.com/vinfo/in/security/definition/eu-general-data-protection-regulation-gdpr/
- [6] : https://www.vwv.co.uk/news-and-events/blog/information-law-brief/general-data-protection-regulation-retrospective
- [7] : https://vrixoc.catalina9564.site/vcu-redcap.html
- [8] : https://www.itgovernance.co.uk/blog/does-the-gdpr-apply-to-old-data-breaches
- [9] : https://www.smashingmagazine.com/2018/02/gdpr-for-web-developers/
- [10] : https://www.gettingemaildelivered.com/how-gdpr-affects-data-collected-before-gdpr-went-into-effect
- [11] : https://www.aibusiness.com/document.asp?doc_id=760934
- [12] : https://www.dporganizer.com/blog/gdpr/faq-top-questions-asked-about-gdpr/
- [13] : https://gdpr.eu/fines/