Presse

GDPR

 

2018: La loi européenne sur la vie privée devient plus stricte.

 

 En mai 2018, le nouveau règlement européen concernant la protection des données  (General Data Protection Regulation) sera d’application

 

 

 

1. Pourquoi une nouvelle réglementation européenne sur la protection des données?

 

De nouvelles règles ont été élaborées car les directives actuelles (Directive 95/46/EG du Parlement Européen et Conseil du 24 octobre 1995) n’étaient plus en accord avec les développements d’internet, des médias sociaux et big data.

 

  

 

2. A qui s’adresse la nouvelle réglementation?

 

La réglementation s’adresse tant aux sociétés anonymes, qu’aux associations sans but lucratif qu’aux indépendants, en bref à quiconque détient des données.

 

 

 

3. Ce qui change à partir de mai 2018?

 

La base de la directive actuelle est gardée, mais il s’y ajoute de nouvelles dispositions plus sévères. Le règlement prévoit davantage de transparence pour les personnes concernées tant en b to b qu’en b to c. Cela demandera du travail aux entreprises pour s’y adapter. Le consommateur reçoit des droits supplémentaires. A côté des droits existants (d’accès, de mise à jour, de maintien…) s’ajoute le droit d’être oublié, de limiter l’utilisation des données et de les transmettre.

 

Pour les sociétés et organisations travaillant avec des bases de données, les obligations sont devenues plus strictes. L’une d’elles concerne l’obligation de suppression. La société devra prouver qu’elle agit conformément à la réglementation. Cette responsabilité est étendue aux sociétés qui travaillent ces données, par exemple, une société informatique, call-center ou dans le cas de sociétés actives dans la personnalisation de product media (T-shirts, casquettes, chopes…) qui pour accomplir leur travail reçoivent un fichier.

 

 

 

4. Que doivent faire les entreprises?

 

4.1 Data mapping

 

Les sociétés, associations ou organismes auront à réaliser un inventaire des données en leur possession. Cet inventaire devra justifier les sources, les demandes, sa formulation et ses applications.

 

4.2 Processus

 

Les sociétés devront installer des processus pour garantir la sécurité des données

 

Les données doivent être protégées contre les “Breach” (accès non autorisé).

 

Pour la protection à l’accès des données,  un login attribué aux personnes pour avoir accès à ses données n’est pas suffisant. Les données ne peuvent pas directement être accessibles en “langage clair”, elles doivent apparaître sous une forme cryptée. En outre, il faudra un système pour détecter toute violation des données.  Si une violation a eu lieu, l’information doit être transmise à la Commission sur la vie privée endéans les 72h suivant la découverte

 

Un contrat avec les utilisateurs des données doit également être rédigé, ce dernier doit être adapté à la nouvelle réglementation.

 

 

 

4.3 Data protection officer

 

Dans la réglementation, il est prévu que les sociétés nomment un ‘Data Protection Officer” (DPO). Cette personne veillera à ce que la politique de confidentialité de l’entreprise ou de l’institution soit en conformité avec le nouveau règlement.

 

Il ou elle est également l’interlocuteur (trice) auprès de la Commission sur la vie privée. Cette personne doit être externe à l’entreprise. S’il s’agit d’une personne interne, il y a conflit d’intérêt et cette personne ne peut agir en toute indépendance.

 

 

 

4.4 Période de détention

 

Les données des consommateurs ou des clients ne peuvent être gardées plus que nécessaire. Cette période peut varier suivant son objet.

 

 

 

5. Profilage en marketing

 

Les Marketeurs peuvent sur base de segmentation et d’analyse de profils de groupes contacter des consommateurs. Le consommateur dispose d’un droit d’opposition et peut interjeter appel au cas où ses droits ne seraient pas respectés.

 

 

 

6. Sanctions

 

Celui qui ne respecte pas les règles peut s’attendre à des sanctions. Les amendes peuvent monter jusqu’à 20 millions d’Euro ou 4% du chiffre d’affaires global de l’entreprise. Dans la présente directive, il est question d’une sanction pénale, mais à partir du 25 mai 2018, il s’agira d’une sanction administrative.