Que couvre le RGPD ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Le règlement général sur la protection des données (RGPD), approuvé par le Parlement européen et le Conseil en avril 2016, remplace le droit primaire qui régit la protection des données personnelles des citoyens européens par les entreprises. Un peu plus d’un an avant son entrée en vigueur, les entreprises du monde entier reconnaissent l’importance de se conformer à la nouvelle loi. L’application de la loi aura lieu en 2018, lorsqu’elle sera pleinement mise en œuvre dans toute l’Europe. Sources : 16,3,4]

Le GDPR remplace la directive sur la protection des données de 1995, qui a fourni le premier cadre juridique pour la sécurité des données dans l’UE. Les lois précédentes sur la protection des données, notamment la loi sur la protection des données de 1998, ont été remplacées par la loi britannique sur la protection des données, qui s’appuie sur un certain nombre d’amendements et d’ajouts à la Convention européenne des droits de l’homme (CEDH) et au droit européen. Sources : 11,13]

Cependant, de nombreuses entreprises se tournent vers le GDPR et les lois européennes sur la protection des données pour obtenir des conseils sur la façon de stocker et de gérer la protection des données, même lorsqu’elles n’opèrent pas dans l’UE. La directive européenne sur la protection des données (DPD) et la Convention européenne des droits de l’homme (CEDH) contiennent des dispositions qui obligent les entreprises à protéger les données personnelles et la vie privée des citoyens de l’UE dans toutes les transactions effectuées dans les États membres de l’UE. Ces dispositions semblent simples, mais la mise en œuvre du cadre juridique nécessaire pour répondre aux exigences du GDPR peut être une tâche ardue dans des pays comme les États-Unis, où les règles de protection des données sont beaucoup plus souples que dans l’UE. [Sources : 9,0,14]

Bien que les lois susmentionnées soient les cadres réglementaires les plus connus dans le domaine de la protection des données, il ne fait aucun doute qu’un certain nombre d’autres lois sur la protection des données et la protection des données s’appliquent. Les entreprises britanniques devront respecter les mêmes règles que les entreprises basées partout dans le monde, mais la Grande-Bretagne a décidé de faire ce qui est le mieux pour ses citoyens, et pas seulement pour ses entreprises.[Sources : 2,14,15]

Il ne fait aucun doute que le GDPR remplacera les lois existantes sur la protection des données qui sont actuellement respectées par les États membres de l’UE, mais la conformité est obligatoire dans presque tous les cas. En particulier, les entreprises traitant des données divulguant les données personnelles de citoyens de l’UE et de citoyens d’autres pays de l’UE devront nommer un responsable de la protection des données. Ce fonctionnaire conseillera l’entreprise sur la conformité au règlement et servira de contact pour l’AS. L’impact sur les entreprises américaines qui contrôlent et traitent les données personnelles de personnes basées en dehors de l’UE sera significatif. Sources : 15,12,4]

S’il n’est pas nécessaire d’engager un responsable de la protection des données pour se conformer au GDPR, il convient de noter que les entreprises qui s’appuient sur des fournisseurs de stockage en nuage tels qu’Amazon Web Services (AWS) ne sont pas exemptées. Cela signifie que si votre organisation n’a pas de bureau dans un État membre européen, mais a des activités liées aux données personnelles de citoyens européens, alors le GDPR s’applique également à vous. Cependant, si votre entreprise est basée aux États-Unis, vous ne pouvez pas l’appliquer à l’entreprise en tant qu’État membre de l’UE. [Sources : 5,2,15]

Il est préférable d’avoir une politique de confidentialité afin de pouvoir fournir aux clients, fournisseurs et employés les informations que vous collectez. Il est également conseillé de s’assurer que votre politique de confidentialité comporte une distinction claire entre ce que vous pouvez fournir à vos clients, fournisseurs ou employés et ce qui peut leur être fourni avec les données collectées. Si la protection des données en elle-même peut avoir des implications pour l’application du GDPR aux entreprises américaines, elle a également des implications pour la conformité des entreprises de l’UE à ce règlement général sur la protection des données. La question de savoir comment le GDPR s’applique aux données personnelles contrôlées et traitées par une entreprise américaine peut également être compliquée si vous collectez des données personnelles auprès de personnes basées dans l’UE ou à partir d’environnements cloud basés dans une UE mais soutenus par les États-Unis. Sources : 12,11,14]

Le GDPR exige le respect de la vie privée dès la conception, c’est-à-dire que son article 25 signifie que la vie privée est intégrée dans le développement de la technologie elle-même. La loi mentionnée dans cet article décrit exactement ce qu’elle signifie pour la protection des données, mais que signifie-t-elle pour vos données ? Sources : 14,10]

Cette définition est importante car elle précise que la loi européenne sur la protection des données s’applique partout où une organisation fait quelque chose qui affecte ou touche des données personnelles. En d’autres termes, la loi s’applique à toute organisation qui accède aux données à caractère personnel des personnes concernées ou qui agit sur elles de toute autre manière, indépendamment de ce qu’elle fait ensuite. Vous savez ce qu’est votre personne concernée et ce qui est soumis au GDPR, mais qu’est-ce qui y est soumis ? [Sources : 7,1,8]

Une question fréquemment posée, souvent associée au sujet de la protection des données, est de savoir si les données sont cryptées ou non – sont-elles toujours personnelles ? Vous connaissez la personne concernée du fait de l’organisation ou de l’entreprise qui stocke ou utilise vos données personnelles, mais à quoi est-elle soumise ? Sources : 3,6]

Sources: