Découvrez nos solutions sans obligation d’achat
Le règlement européen sur la protection des données et des données personnelles est en place depuis deux ans, qui vise à donner aux individus le contrôle de leurs données personnelles et à simplifier les exigences pour les entreprises. Lorsque le GDPR entrera en vigueur le 25 mai 2018, il établira une nouvelle norme pour la protection des données et mettra en place une loi mondiale sur la protection des données qui changera à jamais la façon dont il faut utiliser Internet. Le Parlement européen les a approuvées en mai 2017 avec le soutien de la Commission européenne et du Règlement général sur la protection des données (RGPD). [Sources : 12,17,6]
Avant cette date, le droit de la vie privée dans l’UE était régi par les lois des États membres, qui ont été adoptées au fil des ans, avec des différences considérables. En l’espace de deux mois, les autorités européennes chargées de la protection des données ont déclaré que l’UE devait adopter une approche globale de la protection des données à caractère personnel. Les travaux de mise à jour de la directive de 1995 ont commencé et le délai était de 40 jours ouvrables, mais les dispositions faisaient déjà partie du droit britannique en vertu de la loi sur la protection des données de 1998. Selon la Commission européenne, la Suède s’est contentée de se conformer aux règles européennes actualisées, bien qu’elle ait annoncé son intention de mettre en œuvre sa propre loi sur la protection des données (la directive sur le marché unique numérique) en 1998. Sources : 5,14,9,16]
La directive sur la protection des données exigeait la transposition des lois européennes et nationales des États membres, ce qui a conduit à la création d’une nouvelle loi européenne sur la protection des données, la directive sur le marché unique numérique (GDPR). Sources : 19]
En termes simples, le GDPR, qui couvre dans la plupart des cas toutes les entreprises de l’UE, doit respecter les exigences relatives au traitement des données provenant de pays tiers. Si l’organisation recevant les données personnelles est basée dans un pays autorisé, certaines conditions doivent être remplies avant que les données personnelles des citoyens de l’UE hors de l’Union européenne (UE) puissent être transférées vers un autre pays de l’UE (par exemple, la juridiction autorisée d’un État membre). Si les données sont traitées dans ou près d’un pays de l’UE et que les données personnelles de l’utilisateur sont transférées vers une juridiction « admissible », une certaine condition doit être remplie pour le transfert. La directive européenne sur la protection des données (la directive sur le marché unique numérique) indique que le GDPR (et donc la législation européenne sur la protection des données) s’applique également aux organisations qui ne sont pas situées à l’intérieur ou à l’extérieur de l’UE, mais qui offrent des biens et des services ou surveillent le comportement des personnes concernées au sein de l’UE. En d’autres termes, il s’applique non seulement aux entreprises et organisations basées en Europe et à proximité, mais aussi à toutes les entreprises ou organisations établies en dehors de l’UE, dès lors que le traitement des données a lieu au sein et à proximité de l’Union européenne. Sources : 19,15,7,11]
Si vous êtes une organisation établie en dehors de l’UE et que vous traitez des données personnelles, le GDPR ne s’applique pas à vous. [Sources : 19]
Si vous êtes présent (numériquement ou physiquement) dans l’UE, votre organisation de données doit se conformer au GDPR et cartographier exactement comment les données sont stockées, transférées et supprimées. Si vous collectez des données sur des citoyens de l’UE et décidez pourquoi et comment ces données ont été collectées et traitées, vous êtes considéré comme le responsable du traitement au sens du GDPR. [Sources : 4,8]
Non – vous voulez être la première organisation à subir une violation de données lorsque le GDPR entrera en vigueur. À l’avenir, assurez-vous que vos pratiques en matière de protection des données sont appropriées pour faire face aux risques émergents en matière de confidentialité et de sécurité. Ce sera un véritable test de l’application du GDPR et ce n’est qu’alors qu’il faut voir comment les régulateurs veulent jouer leur rôle à l’avenir. Sources : 13,1]
Le GDPR (General Data Protection Regulation) est l’acronyme de EU Regulation 2016 – 679 et définit essentiellement la manière dont les données personnelles doivent être traitées légalement, notamment la manière dont elles sont collectées, utilisées et protégées. Vous trouverez ici un aperçu des principaux changements introduits par le règlement que les organisations doivent prendre en compte pour se préparer à la mise en conformité. En général, il faut travailler avec l’autorité de l’Union européenne chargée de la conservation des données et des pouvoirs d’investigation (DRA). Sources : 13,2]
Par exemple, si une entreprise n’a pas de présence physique dans l’UE mais qu’elle collecte des données sur des citoyens de l’UE sur un site web, les exigences du GDPR sont effectives », a-t-il déclaré. Lorsqu’un site web de l’UE collecte des données d’un utilisateur situé en dehors de l’UE, il doit se conformer au GDPR, conformément au règlement. Sources : 10,3]
Les organisations s’exposent à des sanctions si elles ne protègent pas correctement les données personnelles des Européens ou en cas d’infraction. La législation sur la protection des données, qui est en place depuis près de deux décennies, s’est avérée efficace pour assumer les responsabilités. Le moment est venu de revoir son fonctionnement dans un monde de plus en plus interconnecté, où il faut concilier les exigences de protection de la vie privée – des citoyens conscients – et les besoins des entreprises ayant une présence physique dans l’UE et au-delà. [Sources : 0,1,1]
Internet est depuis longtemps à l’avant-garde du débat sur la manière dont les données doivent être protégées et réglementées. Mais rien ou presque n’a changé en ce qui concerne les droits des citoyens européens en matière d’accès, de source, d’utilisation et de stockage des données privées. [Sources : 18,16]
Sources:
- [0] : https://www.bankinfosecurity.com/are-eu-privacy-regulators-starting-to-find-gdpr-consensus-a-15646
- 1] : https://gbievents.com/blog/your-kick-start-plan-for-gdpr-compliance
- [2] : https://www.iubenda.com/en/help/5428-gdpr-guide
- [3] : https://www.cookiebot.com/en/gdpr-cookies/
- [4] : https://segment.com/academy/collecting-data/customer-data-and-the-gdpr/
- [5] : https://gdpr.eu/what-is-gdpr/
- [6] : https://aithority.com/technology/analytics/how-did-we-get-here-a-brief-history-of-the-gdpr/
- [7] : https://www.superoffice.com/blog/gdpr/
- [8] : https://digitalguardian.com/blog/what-gdpr-general-data-protection-regulation-understanding-and-complying-gdpr-data-protection
- [9] : https://blog.marketo.com/2018/02/biggest-changes-coming-gdpr.html
- [10] : https://www.varonis.com/blog/what-is-the-eu-general-data-protection-regulation/
- [11] : https://www2.deloitte.com/it/it/pages/risk/articles/gx-general-data-protection-regulation.html
- [12] : https://www.welivesecurity.com/2020/05/25/two-years-later-has-gdpr-fulfilled-its-promise/
- [13] : https://www.itgovernance.eu/fi-fi/eu-general-data-protection-regulation-gdpr-fi
- [14] : https://www.itpro.co.uk/general-data-protection-regulation-gdpr
- [15] : https://gdprinformer.com/getting-started-with-the-gdpr
- [16] : https://vutu.re/blog/gdpr-timeline–a-history-of-data-protection.aspx
- [17] : https://termly.io/resources/articles/gdpr-for-dummies/
- [18] : https://www.forbes.com/sites/andrewrossow/2018/05/25/the-birth-of-gdpr-what-is-it-and-what-you-need-to-know/