Le règlement général sur la protection des données est une mesure de contrôle qui est entrée en vigueur le 25 mai 2018 et qui réglemente la collecte des données pour les résidents européens.
Toutefois, ces réglementations ne concernent pas uniquement les entreprises européennes. En fait, le GDPR affectera toutes les entreprises qui traitent les données personnelles des résidents européens. Les entreprises canadiennes qui possèdent des données sur des résidents européens doivent également se conformer à cette législation.
Le “traitement des données” désigne la collecte, l’accès, le stockage, la manipulation, la visualisation et la destruction des données. Ainsi, une entreprise qui fait appel à un tiers pour collecter et stocker des données est toujours concernée dans la mesure où elle consulte les résultats à distance.
Les entreprises qui enfreignent le GDPR peuvent être soumises à deux types d’amendes. La première est une amende substantielle pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus élevé étant retenu. La seconde, qui peut être une amende encore plus substantielle, peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel global de l’entreprise, ce qui constitue une grave répercussion pour le non-respect de la réglementation.
Les principes clés de cette loi sont relativement simples :
Le principe du consentement sera renforcé par le GDPR. À partir du 25 mai 2018, le consentement du consommateur à la collecte de ses données doit être positif et explicite. En outre, les entreprises doivent être en mesure de prouver ce consentement.
En ce qui concerne les entreprises B2B, il n’est pas nécessaire d’obtenir le consentement si l’intention de la collecte est respectée.
La raison de l’utilisation des cookies doit être clairement indiquée et les utilisateurs doivent avoir la possibilité de les refuser.
Le principe de transparence signifie simplement que les entreprises doivent fournir un consentement explicite et clair sur la manière dont les données de leurs consommateurs seront utilisées. Ces informations doivent être données sans ambiguïté et être accessibles à tous.
Les droits des consommateurs couvrent tous les nouveaux droits accordés aux citoyens européens par le GDPR.
Tout d’abord, les résidents européens pourront accéder aux informations collectées à leur sujet. S’ils font une demande, l’entreprise dispose d’un mois au maximum pour répondre et satisfaire à cette demande.
Le droit des utilisateurs à l’oubli sera également amélioré. En effet, les entreprises disposeront désormais d’un mois au lieu de deux pour effacer les données d’un consommateur lorsque celui-ci en fait la demande. Chaque réplication des données doit également être supprimée.
Une nouvelle loi entrera également en vigueur, qui concerne la portabilité des informations. Un consommateur pourra recevoir les informations qu’il a fournies dans un format facilement réutilisable afin de les transférer à un tiers.
Le dernier principe est celui de la responsabilité. Comme le montre le récent scandale Facebook, une entreprise doit documenter ses mesures de sécurité pour protéger les données et renforcer ces méthodes afin de prévenir les intrusions.
En outre, les entreprises concernées par le GDPR doivent notifier l’organisme de régulation compétent dans les 72 heures en cas de défaillance de la sécurité. Les personnes physiques doivent être informées “dans les plus brefs délais”.
Au Canada, avec la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques), qui existe depuis 2004, les entreprises canadiennes seront familières avec un bon nombre des mesures de protection contenues dans le GDPR, de sorte que l’adoption de cette loi ne sera pas un gros problème pour la plupart. Certaines entreprises, en revanche, devront désigner une ressource (délégué à la protection des données) lorsqu’elles traitent des données sensibles ou des données à grande échelle. Pour la plupart d’entre eux, un simple aperçu de la réglementation devrait rapidement indiquer ce que votre entreprise doit faire pour se conformer au RGDP.
En outre, si vous êtes reconnu coupable de ne pas avoir respecté le GDPR, un audit pourrait vous aider à prouver que vous avez pris des mesures significatives pour protéger vos données. Si vous recevez une amende, vous pouvez la faire réduire. Le suivi de la mise en œuvre des mesures de confidentialité validera ce point et vous aidera à vous démarquer des entreprises qui n’ont pris aucune mesure pour se mettre en conformité.
Si vous avez des questions concernant le GDPR ou le PIPEDA, n’hésitez pas à nous contacter en utilisant le formulaire ou l’adresse sur la page suivante : Nous contacter
Note de l’éditeur : Ce billet a été inspiré par notre partenaire SugarCRM.