Le GDPR arrive bientôt dans un projet près de chez vous et vous feriez mieux de vous préparer. Introduit en avril 2016, le règlement général sur la protection des données (GDPR) aura un impact majeur sur les entreprises du monde entier.
Bien que le GDPR ait été introduit par l'UE il y a deux ans, il devient exécutoire le 25 mai 2018 et la plupart des entreprises ne sont malheureusement pas préparées.
Même les entreprises qui ne sont pas basées dans l’UE risquent d’être touchées. Si votre entreprise traite les données personnelles de citoyens ou de résidents de l'Union européenne, le RGPD s'applique à vous, quel que soit votre emplacement. En conséquence, presque toutes les grandes entreprises, entreprises et groupes de médias sont touchés.
$config[code] not foundTout ce que nous faisons, que ce soit dans notre vie personnelle ou professionnelle, tourne autour des données, et l’objectif déclaré du GDPR est de redonner aux citoyens le contrôle de leurs données et de leurs informations personnelles.
Il prescrit comment les données personnelles doivent être traitées, stockées, transférées, etc. Fondé sur la législation existante de plusieurs pays de l’UE, il visait à rationaliser la protection des données à travers l’Europe.
Préparation du GDPR
Le principal problème que rencontrent de nombreuses entreprises en matière de GDPR est que, bien qu’il oblige les données des consommateurs à être protégées de manière raisonnable, elles ne définissent pas précisément ce que le terme "raisonnable" signifie. Ces données peuvent inclure des données d'identité, des dossiers de santé, des informations Web, des données biométriques, des questions de race et de sexualité et des convictions politiques.
Connaissez votre entreprise, connaissez votre rôle
Les grandes entreprises devront réserver plus de temps pour mettre en œuvre le GDPR que les plus petites. En particulier, les entreprises doivent déterminer quel rôle elles remplissent dans le GDPR, qu’il s’agisse d’un contrôleur de données ou d’un processeur de données.
Un contrôleur de données est un individu ou une entité qui décide de la manière dont les données seront utilisées et à quelle fin, alors qu'un processeur de données est un individu ou une entité responsable du traitement (adaptation, enregistrement, conservation ou obtention) de données à caractère personnel.
Au départ, préparer le GDPR prend moins de temps pour les entreprises qui agissent en tant que processeurs, car elles ne traitent que les données pour le compte du responsable du traitement. Au final, le responsable du traitement est principalement responsable des problèmes liés aux données personnelles. Toutefois, le sous-traitant partage la responsabilité du responsable du traitement dans la mesure du traitement des données.
Par exemple, s'il existe un cas impliquant une fuite ou une fraude de données, le responsable du traitement sera responsable si ces données ont été traitées d'une manière non conforme au GDPR, mais le responsable du traitement sera responsable du cas lui-même en déléguant le transfert des données. données au processeur non conforme.
Êtes-vous prêt pour le GDPR?
Le coût de la mise en œuvre du GDPR dépend de la taille de votre entreprise et de la complexité de votre système interne. Par exemple, si vous avez déjà des membres de l’équipe qui ont une expertise technique, vous n’aurez probablement pas besoin d’embaucher du nouveau personnel.
L’exigence majeure du GDPR est l’affectation d’un délégué à la protection des données. Ce responsable n’a pas besoin d’être nouveau, il peut s’agir de tout employé ayant suffisamment d’expertise pour gérer les données.
La mise en œuvre coûtera plus cher aux grandes entreprises. Selon un sondage réalisé par PwC, 68% des entreprises basées aux États-Unis s’attendent à dépenser entre 1 et 10 millions de dollars pour le GDPR. Le coût réel dépendra principalement de votre système préexistant et de la concentration sur les données.
N'oubliez pas qu'il n'existe actuellement aucune agence de certification qualifiée pour le GDPR, mais de nombreuses entreprises proposent de tels services. Ces certificats ne garantissent en aucune manière la conformité au GDPR et vous devez attendre après le 25 mai 2018 avant de rechercher de tels certificats.
Si vous ne parvenez pas à mettre pleinement en œuvre le GDPR, cela aura des conséquences, mais elles ne se produiront pas immédiatement après le 25 mai 2018.
Il est techniquement possible de se passer de la conformité au GDPR (bien que je le déconseille vivement), mais le GDPR exige également qu'un processus d'inspection soit effectué par la Commission européenne.
Si votre entreprise est soumise à une inspection et s’il est constaté qu’elle n’est pas conforme au GDPR, les sanctions peuvent être sévères. Un montant maximum de 20 millions d’euros, soit 4% du chiffre d’affaires mondial annuel (le plus élevé des deux), peut être prélevé pour non-conformité.
Votre entreprise aura intérêt à mettre en œuvre le GDPR le plus rapidement possible. Non seulement cela supprimera toutes les ramifications juridiques possibles, mais cela rendra également votre entreprise plus attrayante car la conformité est un atout exceptionnel pour les clients existants et potentiels en Europe, ce qui vous confère un avantage indéniable.
Ligne de fond
Ne soyez pas laissé pour compte. Ne pas mettre en œuvre le GDPR pourrait avoir un impact catastrophique sur votre entreprise. Assurez-vous de mettre en œuvre les actions énumérées ci-dessus, d'étudier la législation et de vous assurer que tous les aspects de votre entreprise sont couverts.
Si vous souhaitez en savoir plus, vous pouvez consulter la liste des FAQ de io technologies et consulter la liste complète des réglementations GDPR ici.
Cela peut sembler accablant, mais la mise en œuvre de GDPR ne doit pas être trop pénible. Bonne chance!
Photo via Shutterstock