mise-en-conformite-donnees
GDPR : Ce qui va changer ? Comment se préparer ? Opportunité ou menace ?
Maelle De Francesco
HireHive
Maelle De Francesco
HireHive
Maelle De Francesco
HireHive
Maelle De Francesco
HireHive
Tout d’abord, GDPR signifie General Data Protection Regulation (et cela va remplacer la directive européenne de 1995 sur la protection des données). Cette loi était en préparation depuis 4 ans avant son approbation officielle le 14 avril 2016. Cependant, la régulation GDPR ne sera appliquée que le 25 mai 2018, ce qui signifie qu’il vous reste 324 jours pour vous préparer !
Le but de cette régulation est de protéger tous les citoyens de l’Union Européenne contre les violations de vie privée et de données à caractère personnel dans un monde où les données sont devenues le nouveau pétrole. Ce document remplacera donc la directive de 1995 qui est en vigueur actuellement et qui définit les principes fondamentaux en termes de protection des données au sein de l’Union Européenne. Tous les organismes localisés dans l’Union Européenne ou vendant des biens ou services dans l’UE doivent se conformer à ces nouvelles lois, ou devront faire face à des amendes colossales.
Alors que les principes fondamentaux concernant la protection des données énoncés dans la directive de 1995 demeurent inchangés, certaines modifications sont mises en avant sur le site officiel de GDPR.
Le principal changement par rapport aux lois actuelles de protection des données est que GDPR s’applique à toutes les entreprises traitant des données à caractère personnel au sein de l’UE, même si l’entreprise n’est pas elle-même physiquement basée dans l’UE. Les entreprises ne faisant pas partie de l’UE devront nommer un représentant pour l’Union Européenne. Dans les lois actuellement en vigueur, le champ d’application en termes de territoire est ambigu.
Ce qui a probablement poussé les entreprises à s’intéresser de plus près à GDPR sont les lourdes pénalités prévues en cas de non conformité. Si vous enfreignez la loi GDPR, attendez-vous à une amende s’élevant à 4% de votre chiffre d’affaires annuel ou à 20 millions d’euros, en fonction du montant qui est le plus élevé.
Une fois GDPR en vigueur , les entreprises devront obtenir un consentement clair des personnes sur lesquelles des données vont être collectées. Elles ne peuvent plus utiliser des Conditions Générales d’utilisation/de vente compliquées pour demander à ces personnes leur consentement via quelque média quelque soit. A la place, les entreprises doivent fournir des Conditions d’utilisations/Conditions de vente compréhensibles et doivent également fournir une façon simple pour les personnes concernées de retirer leur consentement.
Sous GDPR, tous les organismes traitant des données doivent enregistrer une infraction 72 heures après la prise de conscience initiale. Ils devront également en informer les personnes concernées dans le même laps de temps.
Les personnes concernées ont maintenant le droit de demander des informations sur leurs données aux responsables du traitement : où elles sont traitées, dans quel but. Le responsable du traitement doit fournir une copie gratuite des données personnelles en format numérique. De même, les personnes concernées ont le droit de demander aux responsables du traitement d’effacer leurs données.
Toutes les entreprises qui traitent des données à grande échelle, qui sont des autorités publiques ou qui traitent des données de catégories spécifiques telles que des données liées à des condamnations pénales, doivent nommer un délégué à la protection des données. A partir du 25 mai 2018, des archives internes seront nécessaires.
Un Délégué à la protection des données doit répondre aux exigences suivantes :
Lors de l’événement TechConnect Live qui a eu lieu fin mai 2017, Gareth Davies (Data Protection Officer au sein de Kerry Group) a insisté sur le fait que réaliser un audit des données avant que GDPR ne soit appliquée était nécessaire. Un audit des données implique l’analyse du volume et du type de données que vous stockez, qui les détient et comment l’entreprise va gérer ces données dans le futur.
Comme nous l’avons mentionné auparavant, vous devez expliquer de manière claire aux personnes concernées ce que vous allez faire avec leurs données, avant qu’ils vous fournissent leur consentement. Par exemple, vous ne pouvez plus vous rendre à un événement ou un salon, récolter des centaines de cartes de visite puis spammer ces entreprises sans qu’elles vous aient donné clairement leur consentement. Certaines entreprises peuvent avoir besoin de stocker des données pour des raisons médicales ou légales : ce consentement est obligatoire en particulier pour l’exploitation de ces données à des fins de marketing.
Puisque HireHive est un logiciel de recrutement, nous ne pouvions pas passer à côté de ce sujet ! Barry Rudden (Senior Director dans l’entreprise Sigmar Recruitment) a expliqué lors du TechConnect Live 2017 la nécessité de rédiger des contrats clairs et transparents pour les employés. Cela permet de s’assurer qu’il n’y a aucune ambiguïté en ce qui concerne le consentement. Il a également évoqué le fait que les entreprises doivent s’attendre à recevoir plus de demandes internes de la part d’anciens employés en ce qui concerne leurs données.
Beaucoup d’articles se concentrent sur les lourdes pénalités que pourraient subir les entreprises, ainsi que l’ensemble des efforts nécessaires pour être en conformité. Mais GDPR peut également avoir une influence positive sur les entreprises : par exemple, celles-ci peuvent avoir un avantage compétitif en étant totalement conformes à la législation GDPR. Avec un nombre important d’infractions en termes de données ces dernières années, les gens sont de plus en plus préoccupés par la façon dont sont traitées leurs données à caractère personnel. En appliquant GDPR, vous protégez ces données à caractère personnel et construisez des relations basées sur la transparence et la confiance avec vos clients.
Pour lire l’article original (en anglais), cliquez ici
