Dès le 25 mai 2018, le nouveau règlement général sur la protection des données (RGPD) s’appliquera à l’ensemble des données personnelles des citoyens et résidents européens. Le non-respect de ce dernier sera puni par des sanctions financières importantes. Selon une étude, 19% des entreprises estiment pouvoir être en conformité en mai 2018.
Le RGPD s’inscrit dans la politique générale de la communauté européenne de définition d’un espace européen. C’est un véritable challenge pour toute entreprise qui collecte, traite et stocke les données personnelles des ressortissants européens. L’ensemble des acteurs économiques (entreprise, association et administration) doivent se conformer à ce règlement en mettant en place les actions nécessaires.
Le RGPD défini une donnée personnelle comme toute information se rapportant à un citoyen ou résident européen. Ces données sont divisées en trois catégories :
– Les données personnelles comportent le nom, le prénom, la date de naissance, l’adresse, l’adresse de messagerie personnelle, l’adresse de messagerie professionnelle, l’identifiant d’un téléphone, une adresse IP, une publication sur un réseau social, une photographie, une donnée collectée par un objet connecté, …
– Les données personnelles sensibles incluent l’ethnie, la couleur de peau, le sexe, la sexualité, la religion, les convictions philosophiques, l’appartenance à un syndicat, les informations médicales, …
– Enfin les données génétiques et biométriques comportent les secrets génétiques d’une personne, ses empreintes digitales, les composantes de reconnaissance faciale ou d’analyse rétinienne, ….
Les données personnelles d’un utilisateur sont exclusivement la propriété de ce dernier.
Les entreprises auront l’obligation de justifier l’ensemble des traitements qu’elles effectuent sur les données personnelles. A la demande de leur propriétaire et à tout moment, ses données pourront être supprimées, modifiées ou restituées.
Les utilisateurs doivent comprendre clairement ce qu’ils acceptent comme traitements et la portée de leurs consentements. Par exemple, les techniques de marketing e-Commerce doivent être explicitement acceptées par les particuliers.
En cas de fuite de données, l’internaute sera informé dans les 72 heures par l’entreprise, la responsabilité pouvant incomber au sous-traitant responsable de la fuite ou à l’hébergeur si ce dernier a été attaqué. Pour s’assurer du respect de ces nouveaux droits, le législateur a rendu possibles les actions collectives via des associations.
Les entreprises devront nommer un délégué à la protection des données qui s’assurera de la mise en place du RGPT et du suivi des actions afférentes.
Articles récents
Arnaque au faux RIB : TPE et PME prises pour cible
En 2019, la dernière année avant la crise sanitaire, 7 entreprises françaises sur 10 ont été la cible d’au moins une tentative de fraude sur fond de délinquance financière selon le ministère de l’Intérieur. Heuler Hermes DFCG a réalisé une étude similaire en 2021,...
UE : le mécanisme de notifications des incidents cyber peut mieux faire
Créée en 2004, l’Agence européenne chargée de la sécurité des réseaux de l’information ou ENISA est censée être bien rodée et fonctionner en plein régime à l’heure actuelle. Il n’en est rien ! À une époque ou nous avons plus que jamais besoin d’une structure fiable...
Cybersécurité et industrie pharmaceutique
L’industrie pharmaceutique française a connu un passage à vide qui a duré une quinzaine d’années. Période pendant laquelle notre secteur pharmaceutique a perdu sa place de leader européen en termes de production, malgré un total de 271 sites en activité sur tout le...