GDPR : Êtes vous concernés par le règlement ?

En décembre dernier, nous nous sommes posés la question : Ce que la GDPR va changer dans le monde Big Data ? Dans cette série d’articles, nous revenons sur les aspects légaux explicités durant la conférence de la XebiCon’17.

Si La GDPR s’applique aux “Data Controllers” ou “Responsables des traitements”, à savoir les organismes qui déterminent les finalités et les modalités de traitement de données personnelles, elle s’étend au “Data Processor” ou “ Sous-traitant” également.

Les règles et obligations de la  GDPR s’appliquent au traitement – automatisé ou non – des données à caractère personnel.

Avant toute chose, mettons-nous d’accord sur la définition de ces termes :

Données à caractère personnel

La GDPR donne une définition précise des données à caractère personnel. Il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ».

Par personne physique identifiable, il faut comprendre « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, une adresse postale, un mail, ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Une définition qui a donc été élargie puisqu’elle inclut désormais certaines données online telles que les données de localisation, les identifiants en ligne, les numéros d’identification (identifiants de terminaux, cookies, adresses IP, etc.).

Ce large terme désigne toute opération effectuée sur des données à caractère personnel, via des moyens automatisés ou non. Figurent – parmi les exemples de traitement – la collecte, l’enregistrement, l’organisation, le stockage, l’utilisation et la destruction de données à caractère personnel.

Au final, l’immense majorité des entreprises européennes est concernée par les dispositifs de la GDPR.