#sécurité #vieprivée #Europe #croissance
La GDPR : au-delà des obligations, une opportunité pour les entreprises
Le nouveau règlement européen relatif à la protection des données personnelles (GDPR) a pour objectif de simplifier, d’harmoniser mais également de renforcer la protection des données personnelles dans les 28 pays de l’Union. Il contient des obligations, prévoit des sanctions potentiellement lourdes, mais constitue une véritable opportunité de générer de la confiance et donc de la croissance auprès de consommateurs aujourd’hui particulièrement inquiets.
Qu’est-ce donc que le GDPR ?
Le GDPR, ou General Data Protection Regulation, est le nouveau règlement européen décidé en décembre 2015 qui s’appliquera dès 2018 à toute entreprise qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne. Il s’appliquera à tous les acteurs économiques, voire sociaux : les entreprises bien sûr, mais également les associations, administrations, collectivités locales et syndicats d’entreprises.
Le GDPR et ses obligations pour les entreprises
Avec le nouveau règlement, les entreprises devront, dès 2018, s’assurer de la bonne collecte et du bon traitement des données consenties par les consommateurs. Elles veilleront également à ce que ces données soient à tout moment et en tous lieux sécurisées contre les risques de perte, de vol, de divulgation ou contre toute autre compromission. Si, malgré tout, un tel événement se produisait, alors l’entreprise en question devrait le notifier rapidement (idéalement sous 72 heures) à l’autorité compétente, la CNIL en France, informer les personnes concernées en cas de risque réel d’atteinte à la protection de leur vie privée, le tout avec une obligation de documentation de toutes les mesures et procédures utiles pour assurer à tout moment cette protection. Qui dit obligations dit sanctions : celles-ci peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, sans compter l’indemnisation de toute personne lésée matériellement ou moralement. Les obligations du GDPR supposent qu’une entreprise doit à tout moment savoir de quelles données elle dispose, leur localisation, l’objectif de leur collecte et leur mode de gestion, stockage, sécurisation, transfert et effacement. Au-delà de cette quasi omniscience, elle doit être en mesure de déceler si leur intégrité a été compromise et y remédier promptement, tout en consignant et notifiant l’événement.
Plus qu’une contrainte, une opportunité de confiance et de croissance
En simplifiant, harmonisant et assainissant la gestion des données dans les différents pays de l’Union Européenne, le GDPR entend permettre plus de transparence et donc de confiance dans le monde numérique. Et ce facteur confiance est un élément décisif dans le développement des activités en ligne, tout autant, voire plus que la qualité d’un produit ou d’un service, ou que son service client. S’y conformer est certes une obligation ; c’est également et surtout un investissement dont le retour s’avèrera à la fois rapide et pérenne.
Par Laurent Heslault, Directeur des stratégies de sécurité, Symantec
