GDPR de la cerul de date la sancțiunile infernului Les Echos

CERCUL/PUNCTUL DE VEDERE - Regulamentul general privind protecția datelor sosește la 25 mai 2018, iar companiile care nu respectă standardele riscă penalități grele. Deoarece datele devin un avantaj strategic, cum să nu rămânem în urmă ?

gdpr

În fața unor noi penalități financiare de până la 4% din cifra de afaceri sau 20 de milioane de euro în cazul încălcării anumitor obligații ale GDPR, multe companii trebuie să obțină pentru a fi pregătite pentru 25 mai 2018 !

Din această reformă par să iasă două obiective majore: nevoia de armonizare și dorința de modernizare.

Un nou peisaj

Noul peisaj european este caracterizat în primul rând de modificarea instrumentului juridic utilizat pentru stabilirea regulilor. Anterior, bazată pe o directivă europeană, este acum .

Cadrul legal din 1995 a creat de fapt o fragmentare a implementării protecției datelor în Uniune. Cu un regulament, scopul este de a crea aceeași lege în întreaga Uniune Europeană. Ideea este de a oferi „o mai bună securitate juridică întreprinderilor și de a pune capăt actualului patchwork legislativ”.

De exemplu, perioada de păstrare a datelor este supusă unor cerințe naționale diferite.

Cu toate acestea, trebuie subliniat faptul că acest regulament lasă statelor membre anumite puncte (proceduri de certificare, alte sancțiuni etc.) o marjă de manevră.

O schimbare de filozofie

Pentru Edouard Geffray, secretar general al CNIL, acest „instrument de armonizare extrem de puternic” echivalează pur și simplu cu o „schimbare de paradigmă” (1).

Prin introducerea sau refacerea unui număr de concepte, acest text se dorește a fi inovator. Tranziția se face de la o logică a conformității la momentul „t” al companiei la o logică a dinamicii constând în a întreba dacă protecția maximă a datelor este asigurată continuu, având în vedere evoluțiile tehnologice. Ideea este de a împuternici compania care continuă să dorească să acceseze paradisul datelor.

Un paradis accesibil tuturor

În fiecare zi, compania se confruntă cu prelucrarea datelor, uneori nebănuită, dar pe care trebuie să o controleze întotdeauna. De la datele unui angajat la cele ale unui client sau ale unui prospect, la cele ale unui furnizor sau chiar ale unui partener, partajarea și prelucrarea datelor au crescut dramatic. Vorbim despre apariția unei economii bazată pe cunoașterea datelor, un sfânt graal atât de râvnit de toate sectoarele (industrie, bancare, asigurări, sănătate etc.). Evaluarea datelor dvs. a devenit o mină de aur pentru companii. Datele personale nu sunt ceva pe care îl producem, ci care ne dezvăluie cine suntem. Nu este nimic mai prețios .

Datele vor fi, de asemenea, în centrul inteligenței artificiale, așa cum se prevede în raportul Villani. Cu toate acestea, dacă suprimarea unui număr mare de declarații va constitui o adevărată revoluție în Franța, atât reglementările franceze, cât și CNIL sunt impregnate de reguli formaliste referitoare la obligațiile declarative (2), ar fi iluzoriu să ne gândim că abolirea formalităților va fi lasă loc tentației unui paradis nereglementat.

Respectă regulile

Prima inovație majoră este că obligațiile se bazează acum pe implementarea unei abordări bazate pe risc. Astfel, companiile vor trebui să efectueze o analiză de impact (articolul 35) pentru anumite operațiuni de prelucrare (autoritățile de supraveghere vor trebui să publice o listă a tipurilor de prelucrare pentru care ar fi necesară o astfel de analiză).

În general, companiile vor trebui să țină un registru care să enumere toate operațiunile de prelucrare efectuate (articolul 30), care va include în mod substanțial informațiile solicitate la redactarea unui formular de declarație (scopul, tipul de date, persoanele în cauză, durata etc.).

În plus, obligația de protecție a datelor prin design - confidențialitate prin design (articolul 25) - și cea a protecției datelor în mod implicit - confidențialitate în mod implicit - va impune companiilor să ofere produse și servicii de colectare, de la proiectare și în mod implicit, la fel de puțin date cu caracter personal sau pentru a utiliza pseudonimizarea.

Numiți un responsabil cu protecția datelor

Organizațiile și companiile vor trebui, de asemenea, să numească un responsabil cu protecția datelor - DPO, responsabil cu protecția datelor (articolul 37). În special, el va fi responsabil pentru informarea și consilierea operatorului de date, pentru monitorizarea respectării reglementărilor și pentru cooperarea cu autoritatea de supraveghere (articolul 39). RPD poate fi fie un membru al personalului companiei, fie un furnizor extern de servicii, sub rezerva secretului profesional sau a unei obligații de confidențialitate.