TECH NEWS
Mettre en place une gestion de la donnée conforme à GDPR
Didier Annet, Head of Presales au sein de Fujitsu Luxembourg, évoque les impacts de GDPR.
November 8, 2017
Avec GDPR, l’Union européenne fixe un nouveau cadre pour l’utilisation et la gestion des données personnelles des citoyens résidant sur son territoire. Didier Annet, Head of Presales au sein de Fujitsu Luxembourg, évoque les impacts de ce nouveau règlement pour le citoyen, mais également pour les entreprises qui, sans exception, sont amenées à travailler avec des données personnelles.
Pouvez-vous nous rappeler les grands principes introduits par GDPR ?
A partir de 1995, avec la directive européenne 95/46/CE, l’Union européenne a fixé le cadre relatif à la protection des donnée et l’usage qui peut en être fait. Le règlement GDPR, en français «Règlement général sur les données personnelles», qui sera applicable à partir du 25 mai 2018, introduit de nouveaux droits et devoirs à l’égard des citoyens comme des entreprises. De manière générale, il offre de nouveaux outils au citoyen, lui permettant d’exercer un meilleur contrôle sur ses données personnelles, qui peuvent être collectées par des organisations tierces, sans qu’il en ait nécessairement conscience.
Pourquoi une adaptation du cadre existant était-elle nécessaire ?
Avec l’émergence d’une économie digitale, il était nécessaire d’encadrer les nouveaux usages qui sont faits des données personnelles. Chacun d’entre nous, au cours de son expérience personnelle et professionnelle, a pu se rendre compte que se posent régulièrement des problèmes d’utilisation de données personnelles collectées parfois sans avertissement.
Le nouveau règlement a pour première ambition d’étendre les droits de toute personne résidant sur le territoire de l’Union européenne à l’égard de ses données personnelles et de l’usage qui en est fait.
Concrètement, pour le citoyen, qu’est-ce que cela implique ?
Le Règlement, par exemple, impose aux organisations de demander un « consentement explicite et positif » de la personne pour pouvoir utiliser une de ses données personnelles. Les sociétés n’auront ainsi plus le droit d’enregistrer et d’utiliser vos données personnelles, comme celles que vous laissez par exemple lors de la visite d’un site web, sans que vous n’ayez donné votre consentement. GDPR instaure aussi un droit à l’oubli. Autrement dit, la possibilité est désormais offerte au citoyen de demander à une organisation la suppression immédiate de ses données à caractère personnel et de toute information relative à sa vie privée. L’organisation aura obligation de les supprimer, sauf si le responsable du traitement invoque un «motif légitime».
Entre autres choses, GDPR oblige aussi les différentes entreprises et organismes à informer, dans un délai de 72 heures, le citoyen d’un piratage ou d’une fuite éventuelle de ses données. Chaque citoyen pourra saisir un organisme de son pays pour l’aider à faire valoir ses droits, et ce quel que soit le lieu d’établissement des sociétés gérant les données personnelles et le type de violation.
Dans quelle mesure ce nouveau Règlement risque-t-il d’impacter la vie des entreprises ?
Si l’on se place du point de vue des sociétés, ce nouveau règlement européen va avoir un énorme impact sur le traitement des données à caractère personnel. Les enjeux sont considérables. Les autorités de protection disposeront d’un nouveau pouvoir de sanction administrative pouvant aller du simple avertissement à l’obligation d’effacer certaines données, en passant par l’application d’une amende pour non-conformité. Le règlement donne aux régulateurs le pouvoir d’infliger des sanctions financières allant jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu), en cas de non-respect.
Dès à présent, chaque société doit donc prendre les mesures nécessaires et suffisantes pour éviter de se retrouver confrontée à des non-conformités. L’enjeu est technique et organisationnel. Il faut pouvoir adapter ses systèmes et ses processus de traitement, pour assurer une gestion de la donnée en conformité avec les nouveaux droits et devoirs définis par le règlement, comme celui à l’oubli ou à l’information, ou encore pour assurer la protection des données requise par le règlement. D’autre part, les sociétés vont donc devoir nommer des «Head of Data Protection ». Chaque mise en conformité, en outre, devra débuter par une étude d’impacts pour s’assurer de l’utilisation adéquate des données dites sensibles (orientation politique, religieuse etc.).
Comment un acteur comme Fujitsu accompagne-t-il les sociétés confrontées à ces nouvelles contraintes ?
Fujitsu accompagne les sociétés dans leur transition vers ce nouveau monde défini par GDPR. Nos capacités, avec des services à forte valeur ajoutée, permettent d’aider les sociétés face à ce défi. Nous les aidons à se préparer et, au-delà, à disposer de toutes les assurances leur permettant de continuer à protéger les données personnelles dans le futur. Concrètement, Fujitsu propose d’effectuer un «EU GDPR Readiness Assessment», qui fournira à la société un score de maturité. Au départ de ce résultat, on pourra établir une roadmap, fixant les éléments à mettre en place pour créer une base solide de gestion des données personnelles, en conformité avec la législation. Fujitsu possède également des solutions permettant au département compliance de mieux répondre aux exigences réglementaires.