Posté le : 4 janvier 2018 Par : BlogEuropages

GDPR1-Europages

Une nouvelle réglementation européenne concernant le Règlement général sur la protection des données à caractère personnel (GDPR) va s’appliquer à partir du 25 mai prochain avec de nouvelles obligations pour les entreprises européennes traitant des données personnelles à grande échelle. Explications de ce qui change pour les entreprises avec trois organisations professionnelles françaises du secteur (Cigref, AFAI et Tech In France) qui viennent de publier un Guide pratique.

Les nouvelles obligations du GDPR. Au sein de l’Union européenne, la réglementation GDPR (General Data Protection Regulation) ou Règlement Général sur la protection des Données à caractère Personnel a pour ambition principale de renforcer le droit des personnes dont les données sont traitées. Ce texte implique de nombreux changements pour les entreprises avec un changement d’approche majeure : les déclarations préalables sont remplacées par une capacité à s’autoréguler et à prouver la conformité des traitements des données. D’où l’idée du Cigref représentant les grandes entreprises, de l’AFAI rassemblant les auditeurs conseils en systèmes d’information et de Tech In France regroupant les éditeurs de logiciels, de rédiger un guide pratique sur le sujet. Intitulé « Entreprises, les clés d’une application réussie du GDPR » , ce guide explique ce qui change pour les entreprises et dresse une check-list des bonnes questions à se poser.

6 changements pour les entreprises. Le document indique 6 axes principaux de changements pour les entreprises :

  1. Le concept de «privacy by design / by default». Il s’agit d’intégrer la protection des données à caractère personnel, non seulement dès la conception des produits et services, mais également, par défaut, la plus protectrice possible (notamment avec le principe de minimisation introduit par le GDPR, exigeant de réduire tout traitement de données personnelles au minimum nécessaire ;
  2. l’obligation de désigner un Data Protection Officer (DPO) dès lors qu’une entreprise traite des données personnelles à grande échelle ;
  3. l’obligation de notification de failles et d’atteinte à la sécurité informatique ;
  4. les analyses d’impact sur la vie privée (EIVP) ou Privacy Impact Assessment – PIA. Il s’agit d’anticiper les impacts d’un nouveau produit ou service sur la vie privée des clients. Le PIA devrait permettre à l’entreprise de s’affranchir de la plupart des déclarations ou autorisations CNIL liées aux traitements de données personnelles, et d’avoir une cartographie des différents traitements et des risques ;
  5. l’obligation d’informer les clients sur la finalité de l’usage de leurs données personnelles par l’entreprise. Celle-ci a l’obligation de fournir à ses clients « un avis clair expliquant à quelles fins leurs données sont collectées […] le consentement doit être « libre, spécifique, informé et sans ambiguïté » ;
  6. le droit à la portabilité. Il va impliquer des évolutions substantielles, notamment dans les métiers de la banque et de l’assurance (par exemple, l’obligation de restituer à un client l’ensemble des pièces fournies par ce même client pour l’obtention d’un prêt, dans un format numérique aisément réutilisable).

Et pour bénéficier de conseils dans ce domaine, n’hésitez pas à vous faire aider par votre conseiller Europages !


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *