Les entreprises sont loin d’être prêtes pour la nouvelle réglementation européenne sur la protection des données qui entre en vigueur le 25 mai 2018. Fin 2018, plus de la moitié des organisations ne seront pas conformes à la totalité de la réglementation GDPR (General Data Protection Regulation). C’est le constat du cabinet d’études Gartner.
Désigner un DPO
Cette nouvelle réglementation concerne les entreprises européennes et les prestataires étrangers opérant en Europe, dont les fameux GAFAM (Google Apple Facebook Amazon et Microsoft). A minima, les entreprises doivent désigner un Data Protection Officer (DPO). Il faudra mettre en place une traçabilité de tous les nouveaux processus traitant des données personnelles et la définition de leurs objectifs à communiquer aux personnes.
Obligation : montrer que les processus de l’entreprise sont conçus pour la transparence et l’auditabilité. Il faudra recueillir pour chaque personne, son consentement sur l’usage et l’enregistrement de ses données. A noter, que les données nécessaires à traquer la fraude n’entrent pas dans cette démarche, une entreprise devant naturellement se prémunir de la fraude.
Pour l’enregistrement des données personnelles, les case pré-cochées et le consentement implicite sont à oublier. C’est le monde d’hier. Une action claire est nécessaire pour recueillir et documenter le consentement et le retrait de l’accord d’une personne. Les entreprises doivent implémenter le bon processus pour cela.
Avec la nouvelle réglementation, les personnes vont disposer de droits étendus. Cela comprend le droit d’être oublié, la portabilité de leurs données, et d’être informé par exemple en cas de brèche et de vol de données.
Libre circulation des données en Europe
Par ailleurs, les transferts de données entre les 28 membres de l’Union Européenne sont toujours autorisés, y compris pour la Norvège, l’Islande et le Liechtenstein. 11 autres pays (Andorre, Argentine, Canada îles Faroe, Guernsey, Israël, Isle of Man, Jersey, Nouvelle Zélande, Suisse et Uruguay) sont également considérés comme ayant un niveau de protection suffisant. En dehors de ces pays, des contrats spécifiques devront être utilisés.
