La General Data Protection Regulation (GDPR) est une nouvelle réglementation européenne liée à la protection des données. Elle a été adoptée le 27 avril 2016 et entrera en application le 25 mai 2018 après deux années transitoires. Même s’il s’agit d’une démarche européenne, les sociétés suisses sont pleinement concernées par la GDPR, à moins d’être une entreprise helvétique n’offrant des services que sur territoire suisse et ne traitant aucune donnée à caractère personnel d’individus membres de l’Union Européenne (UE).
Quelles sont les implications de cette nouvelle réglementation? Les changements sont nombreux et impactants. Il y a d’abord l’obligation de notification. En cas de fuite de données personnelles, l’entreprise a l’obligation d’avertir les autorités de contrôle dans les 72 heures. La Suisse n’étant pas membre de l’UE, l’autorité de contrôle sera dans l’état membre de l’individu auquel se rapportent les données. Un délégué à la protection des données doit être désigné au sein de la société. Ses tâches sont définies avec précision: conformité, documentation, reporting, liaison avec l’autorité de contrôle et analyses d’impact des traitements sur les données, font notamment partie de son cahier des charges. Citons encore l’analyse d’impact sur la vie privée obligatoire pour tout traitement de masse de données personnelles, le droit à la portabilité des données, le droit à l’oubli ou encore le consentement explicite.
En cas de non-conformité, les sanctions sont sévères, elles peuvent s’élever à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Ce changement doit donc être piloté suivant une approche «top down» et cela ne peut être réglé à l’interne. Il s’agit d’abord d’un sujet de conformité.
Pour les mesures techniques à adopter: www.e-xpertsolutions.com