Bienvenue dans notre série “C’est quoi…”
qui rend le jargon technique compréhensible par tous.
GDPR est l’acronyme de General Data Protection Regulation (Règlement Général sur la Protection des Données), c’est le nom d’une loi dans l’Union Européenne (UE) qui vise à protéger les droits des personnes en ce qui concerne leurs données.
Plus simplement, toute organisation ou entreprise qui détient des données sur un résident de l’UE devrait se conformer à celle loi.
Que vous soyez une boulangerie familiale en Estonie qui conservez une liste d’adresses de livraison locales ou bien une multinationale géante avec son siège hors d’Europe et qui vendez en ligne dans le monde entier, le GDPR vous concerne.
Le GDPR a été adopté en tant que loi de l’UE en avril 2016, mais les régulateurs ont décidé de nous donner le temps nécessaire pour nous mettre en conformité, de sorte que la loi ne prendra effet qu’en mai 2018.
C’est plutôt une bonne chose car, bien qu’il s’agisse officiellement simplement d’un “règlement”, le GDPR contient 11 chapitres, 99 articles et plusieurs centaines de pages de la législation.
En effet, le GDPR couvre beaucoup plus de problèmes que la majorité des gens imaginent.
Vous entendrez souvent parler du GDPR comme s’il n’avait pour but que de gérer des erreurs et des problèmes, en se préoccupant principalement des violations de données et des notifications concernant ces dernières.
En fait, seuls trois des 99 articles traitent réellement de ces violations, car le GDPR est plus un guide concernant la confidentialité de votre vie numérique, couvrant tous les aspects des données personnelles et comment vous les utilisez.
Entre autres choses, le GDPR traite des données que vous collectez en premier lieu, de la façon avec laquelle vous informez les gens sur ce que vous allez faire avec, ce que vous faites réellement avec, comment vous les stocker de manière sécurisée, à qui vous permettez d’y avoir accès et, la partie qui semble attirer le plus d’intérêt et d’attention, ce qui se passe si vous ne respectez pas ces règles !
Ne pas être en conformité avec le GDPR signifie la possibilité d’une amende, et les amendes dans le cadre du GDPR peuvent être considérablement plus élevées que pour la plupart des autres lois qui existaient en Europe avant l’arrivée du GDPR.
Au pire, les pénalités prévues dans le cadre du GDPR peuvent atteindre 20 000 000 € ou 4% de votre chiffre d’affaires annuel global, selon le montant qui sera le plus élevé.
Bien sûr, les régulateurs ne sont pas obligés d’imposer des pénalités aussi importantes, et il est raisonnable de supposer qu’ils n’infligeront pas aveuglément les montants maximum à chaque fois. Ainsi, nous ne connaîtrons pas le niveau réel des amendes avant que les premières ne soient distribuées !
En bref : le GDPR standardisera la protection des données dans toute l’UE. Si vous avez une activité en Europe, vous devrez presque certainement vous mettre en conformité. Cette loi peut sembler onéreuse à mettre en place, mais dans un monde avec autant de violations de données que celles que nous avons connues ces dernières années, le GDPR semble être le type de réglementation dont nous avons besoin. Et vous pouvez vous attendre à vous retrouver comme sur le grill si vous ne vous mettez pas en conformité !
Enfin, pour être clair : le GDPR s’applique au Royaume-Uni, qui fait actuellement encore partie de l’UE, et s’appliquera effectivement même après que le Royaume-Uni ait quitté l’UE, car le gouvernement prévoit d’adopter une loi locale qui reflètera le GDPR.
Billet inspiré de What is… GDPR ?, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.