Cet article est une introduction à la General Data Protection Regulation (GDPR) dans le cadre de vos projets Big Data.
Pour plus d’informations, téléchargez notre mini guide > GDPR : où en êtes-vous ?
Attention toutefois ! Il n’est pas destiné à être un conseil juridique, mais plutôt une remise à niveau sur les changements que la GDPR va apporter.
Les GDPR à définir
Données personnelles
Toute information relative à un être humain (ou à une personne concernée) qui peut être utilisée pour identifier directement ou indirectement cette personne.
Avec l’arrivée de la GDPR, cette définition a été élargie puisqu’elle comprend aujourd’hui les données online. Exemples: nom, photos, adresses e-mail, coordonnées bancaires, publications sur les réseaux sociaux, sites Web, informations médicales, adresses IP, données de localisation, etc.
Données sensibles
Ce sont les données à caractère personnel qui font apparaître, directement ou indirectement, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à leur santé ou à leur orientation sexuelle. Elles ne peuvent être traitées qu’avec un consentement explicite des individus.
Traitement des données
Ce large terme désigne toute opération effectuée sur des données à caractère personnel, via des moyens automatisés ou non. Figurent parmi les exemples de traitement la collecte, l’enregistrement, l’organisation, le stockage, l’utilisation et la destruction de données à caractère personnel.
Responsable du traitement
Le responsable du traitement est la personne qui détermine – seule ou conjointement avec d’autres – les finalités et les moyens du traitement de données (les méthodes de collecte et de traitement).
Les émergeants de la GDPR
Qui est concerné ?
Toutes les entreprises implantées dans l’Union Européenne et procédant au traitement de données à caractère personnel, quelle que soit sa taille.
Toutes les entreprises non implantées dans l’Union dès lors qu’elles procèdent à un traitement de données lié à des personnes situées au sein de l’Union Européenne.
Obligation de désigner un Pro
La GDPR prévoit la création d’un poste de Délégué de la protection des données (DPO). Ses missions seront :
contrôler le respect de la réglementation par l’entreprise ;
être le point de contact avec l’autorité de contrôle et les individus ayant des questions sur le traitement de leurs données personnelles ;
conseiller et informer l’entreprise, ses employés et les éventuels sous-traitants.
Responsabilité
Les entreprises doivent s’assurer d’être conforme aux obligations de la GDPR et être en mesure de démontrer le respect de ses principes.
Consentement valide
Le responsable de traitement doit être en mesure de démontrer que la personne concernée par un traitement de données a bien donné son consentement.
Notifications des violations
En cas de violation, l’entreprise est dans l’obligation d’informer leur autorité de contrôle, et si possible dans les 72 heures suivant sa découverte.
Protection de la vie privée dès la conception
Le responsable de traitement doit mettre en œuvre toute mesure de protection des données (pseudonymisation, minimisation, etc.) dès la conception ; c’est à dire, identifier les moyens de traitement.
Opposition au profilage
Toute personne peut s’opposer au traitement automatisé de ses données à caractère personnel dans le but d’évaluer certains aspects personnels relatifs à une personne physique (analyse, prédiction, etc.).
Portabilité des données
Toute personne concernée par le traitement de ses données peut obtenir, du responsable du traitement, une copie de ses données personnelles traitées et, le cas échéant, le transfert de ces données à un tiers.
Sanctions
La violation des principes de bases dont les conditions du consentement ou encore les droits des personnes concernées, seront sujettes à une sanction pouvant s’élever à 20 millions ou 4% du chiffre d’affaires mondial annuel.
