Le saviez-vous ? Le GDPR (General Data Protection Regulation) entre en vigueur le 25 mai 2018. En d’autres termes, un nouveau règlement concernant la protection des données personnelles va bientôt être mis en place et il faudra faire avec. En effet, ce règlement devra être respecté et mis en application avant le 25 mai 2018 pour l’ensemble des entreprises utilisant les données personnelles de leurs clients. Cela implique bien évidemment l’ensemble des retailers qui tendent vers une digitalisation de leurs espaces physiques.
Objectifs de la General Data Protection Regulation
Ce règlement a pour objectif de renforcer et surtout d’unifier l’ensemble des éléments relatifs à la protection des données personnelles, cela dans un large spectre puisque le règlement sera applicable au sein de l’Union Européenne. Diverses problématiques sont abordées dans ce règlement comme la confidentialité des données personnelles et la collecte de données qualitatives. Ces questions, presque éthiques, auraient déjà dû être abordées depuis quelques années, en lien avec l’évolution technologique.
Le but principal de cette loi est donc précisément de protéger les données personnelles des citoyens de l’Union européenne.
Qu’est-ce qu’une donnée personnelle ? Une donnée personnelle correspond à tout type d’information relatives à un individu et liées à sa vie privée, publique et professionnelle. En d’autres termes, une donnée personnelle peut-être : un nom, une photo, des données bancaires, une adresse, des informations publiées sur les réseaux sociaux, sur le web, une adresse IP, des centres d’intérêts, etc.
D’autre part, avec ce nouveau règlement, un bureau de protection des données devient obligatoire dans toutes les entreprises travaillant avec des données sensibles. L’idée avec ce bureau est d’assurer un suivi régulier et systématique des processus de collecte des données. Il doit également conseiller et surtout informer le retailer ainsi que les employés et autres membres de l’entreprise des différentes obligations liées au règlement. Ce bureau est responsable de la bonne application du règlement et doit ainsi vérifier que l’ensemble soit respecté.
« Privacy by design » et « privacy by défault »
Le règlement concernant la protection des données propose deux types protection de la vie privée. Il existe le « privacy by design », qui oblige les entreprises à intégrer la protection des données personnelles depuis le début du projet, depuis sa conception. Il existe également la « privacy by default » qui représente des « mesures techniques et organisationnelles visant à garantir que seules les données personnelles nécessaires à chaque finalité spécifique du traitement ne soient utilisées » (source : Privacyvox).
Ainsi, les entreprises (de plus en plus nombreuses) travaillant avec les données clients ont un lourd travail de conformité à réaliser afin de répondre aux normes de ce nouveau règlement avant 2018.
6 étapes de la CNIL pour être en conformité avec le nouveau règlement 2018
Plus d’informations pour se mettre en conformité avec le règlement 2018
De fortes sanctions en cas de non-respect du règlement Européen 2018
La CNIL indique que de fortes sanctions administratives seront mises en place en cas de non-respect du règlement. L’organisme indique que les autorités de protection pourront :
- Donner un avertissement,
- Mettre en demeure l’entreprise,
- Limiter temporairement ou définitivement un traitement,
- Suspendre les flux de données,
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes,
- Ordonner la rectification, la limitation ou l’effacement des données
En ce qui concerne les amendes administratives, elles pourront s’élever (en fonction de la catégorie de l’infraction) à des montants importants : de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, entre 2% et 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Le temps est compté, à vous d’être en conformité avec le règlement sur les données personnelles avant Mai 2018 !