Le 25 mai 2018, le règlement de l’Union européenne (UE) sur la protection des données, GDPR, a exigé des entreprises du monde entier effectuant des transactions au sein de l’UE qu’elles protègent les données personnelles et la vie privée des citoyens européens. Pour en savoir plus sur la mise en conformité rgpd, suivre ce lien.
Voici les cinq principales raisons pour lesquelles les organisations s’inquiètent tant de la conformité au GDPR.
1. Nouvelles exigences
Le GDPR met l’accent sur la responsabilité, la transparence et la gouvernance pour minimiser le risque de violation et défendre la protection des données personnelles en imposant de nouvelles responsabilités aux organisations.
Non seulement les organisations doivent effectuer ces charges, mais elles doivent les adopter, les tester et les maintenir, et être prêtes à démontrer cette conformité aux régulateurs.
2. processus spécifiques
Plusieurs de ces nouvelles exigences sont des processus spécifiques que les organisations doivent adopter, avec l’intention que ces mesures aident à structurer et à formaliser certains domaines pour rendre la conformité plus efficace.
Le GDPR impose des mesures concrètes, telles que :
- L’obligation de tenir des registres internes des activités de protection des données ;
- L’obligation de notifier aux régulateurs les violations de données sans délai excessif (les organisations doivent signaler les violations aux autorités de surveillance dans les 72 heures) et de documenter les faits sous-jacents, les effets et les mesures correctives prises ;
- Nommer un délégué officiel à la protection des données (obligatoire pour certaines organisations).
3. Des amendes et des sanctions lourdes
Les régulateurs sont autorisés à traiter le non-respect du GDPR de l’une des trois manières suivantes :
- Émettre un avertissement ou imposer une interdiction temporaire ou définitive de traiter les données à caractère personnel ;
- Imposer une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial total, selon les circonstances de chaque cas individuel ; ou
- Les deux.
Avec ces dispositions, le GDPR espère rendre le coût de la conformité moins élevé que le coût des violations.
4. Exigences vagues
L’incertitude persistante autour du GDPR est l’un des plus grands obstacles à la conformité, certaines parties du texte restant délibérément vagues.
Des termes non définis tels que « retard excessif », « probabilité d’un risque (élevé) pour les droits et libertés » et « effort disproportionné » nécessiteront des éclaircissements supplémentaires de la part des tribunaux ou des régulateurs ou du temps pour que des pratiques de marché spécifiques se développent.
De même, le règlement ne propose aucune définition de ce qui constitue un niveau « raisonnable » de protection des données personnelles, offrant aux régulateurs une flexibilité importante dans l’évaluation des amendes pour les violations de données et la non-conformité.
5. Portée extraterritoriale
Aussi, la définition par le GDPR de ce que sont les informations d’identification personnelle a un large champ d’application, exigeant un niveau élevé de protection pour un large éventail d’informations. Elle a également une portée étendue, de nombreuses entreprises ne sachant même pas qu’elles seront soumises à la nouvelle réglementation européenne.
Le principe premier du GDPR est qu’il considère les données personnelles comme la propriété de l’individu, et non des contrôleurs ou des processeurs de données. Il s’applique à tous les citoyens de l’UE où qu’ils se trouvent et quelle que soit la localisation de l’organisation.
En conséquence, dans le monde numérique et global d’aujourd’hui, il est presque impossible d’éviter de traiter une certaine forme de données personnelles provenant du marché européen.
La conformité au RGPD une facette de l’environnement commercial actuel
La conformité au RGPD peut être complexe, ainsi que coûteuse et perturbatrice, car les organisations investissent le temps et les ressources nécessaires pour mettre à jour les systèmes et les processus au niveau de sécurité requis par la réglementation.
Cependant, la protection des données est désormais une considération essentielle pour un cadre de conformité réglementaire efficace, en particulier pour ceux qui se trouvent dans le champ d’application étendu du GDPR.
Au minimum, les organisations devraient se retrouver à investir davantage dans les ressources globales de sécurité des données, telles que du personnel supplémentaire ou une mise à niveau technologique.
Bien qu’il y ait une période d’ajustement après l’entrée en vigueur du GDPR, les régulateurs de l’UE indiquent qu’ils prévoient de faire activement respecter la conformité au GDPR.
