A partir du 25 mai 2018, l’entrée en application du nouveau règlement sur la protection des données (ou General Data Protection Regulation, GDPR en anglais) resserre le filet de sécurité autour du stockage et de l’utilisation d’informations personnelles recueillies via le canal internet.
Les entreprises françaises soumises à la loi Informatique et Libertés (1978) et à la directive européenne n°95/46/CE qui faisaient autorité jusqu’ici en matière de protection des données personnelles devront se conformer à un nouveau code juridique défini à l’échelle de l’UE. Le texte vise à imposer un cadre légal commun aux 28 pays membres de l’organisation et redéfinir une série de bonnes pratiques liées à l’exploitation de la data, ce flux gigantesque d’informations qui circulent à travers les réseaux de télécommunications couplés à internet.
Devoir de transparence
Outre qu’il instaure de nouveaux droits en faveur des consommateurs (des dispositions spécifiques pour les mineurs apparaissent notamment dans son considérant 38), le GDPR entend régir les modalités d’exploitation des renseignements que les entreprises récupèrent auprès d’eux.
Ce train de mesures, compilé en 99 articles, concerne au premier chef les structures qui enregistrent et hébergent des données en continu, éditent un logiciel fichier client, un outil de réservation en ligne ou une plateforme collaborative sur laquelle des conversations et des documents confidentiels s’échangent en temps réel. Le devoir de transparence formalisé par le GDPR s’impose aux acteurs concernés à toutes les étapes du processus -depuis la collecte jusqu’au stockage des informations – exigence qui transparaît dans la notion de « Privacy by Design » introduite en guise de garantie par le nouveau règlement. En vertu de ce principe, la protection des données personnelles ne se limite plus à une simple option mais devient une obligation pour les entreprises qui, à ce titre, doivent l’intégrer dans leurs nouvelles applications technologiques et commerciales « dès leur conception ».
Quelles sanctions ?
Très concrètement, les responsables des opérations devront s’assurer que les données sont sécurisées, quel que soit leur mode d’hébergement (système IT ou Cloud). En cas de « violation » (perte, vol, corruption ou modification), les entreprises disposent d’un délai de 72 heures pour notifier l’incident à l’autorité de contrôle compétente (article 33) : en France, il s’agit de la CNIL (Commissions nationale de l’Informatique et des Libertés).
L’effet dissuasif du GDPR tient dans son mécanisme de sanction : ceux qui y contreviendront s’exposeront à des pénalités financières de 10 à 20 millions euros et, pour les grands groupes, à des amendes à hauteur de 4% de leur chiffre d’affaires annuel réalisé au niveau mondial.
Lire l’intégralité du règlement ici.