Le GDPR résumé par Wikipedia :

Le Règlement général sur la protection des données (GDPR) constitue le nouveau texte de référence, au niveau européen, en matière de protection des données à caractère personnel. ll renforce et unifie la protection des données pour les individus au sein de l’Union européenne. […] Le règlement s’appliquera aux entreprises établies en dehors de l’Union européenne qui traitent les données relatives aux activités des organisations de l’UE. Les sociétés non-européennes seront également soumises au règlement si elles ciblent les résidents de l’UE par le profilage ou proposent des biens et services à des résidents européens.

Ce nouveau GDPR est une évolution de la législation actuelle de l’UE sur les données, formalisée par la « Directive sur la protection des données personnelles » (DPD), adoptée en 1995. Il vient combler bon nombre des manques de cette DPD : il exige que les procédures informatiques concernées soient documentées, prescrit des études d’évaluation des risques sous certaines conditions, demande à ce que l’autorité de contrôle et les personnes concernées soient notifiées en cas d’atteinte aux données, et renforce les contraintes de minimisation des données conservées.

Il est particulièrement important de comprendre que les données concernées par le GDPR sont celles qui sont à caractère personnel . C’est ce que nous appelons, aux États-Unis, les « PII » (“Personally identifiable information”), les données qui permettent d’identifier une personne en particulier. Autrement dit les noms, les adresses, les numéros de téléphone, les numéros de compte, et depuis plus récemment, les adresses e-mail et les adresses IP.

On peut dire que le GDPR légifère simplement en prenant des mesures de bon sens concernant la sécurité des données à caractère personnel, qui s’apparentent à ce que recouvre le concept américain de “Privacy by Design” (prise en compte du respect de la vie privée dès la conception d’un système) : minimiser la collecte de données à caractère personnel, supprimer celles qui ne sont plus utiles, restreindre les accès à ces données, et les sécuriser tout au long de leur durée de vie utile.

Quelles sont les nouvelles obligations ?

  • Respect de la vie privée dès la conception – Le concept que les Américains nomment Privacy by Design (PdD) inspire de longue date le législateur de l’UE. Mais avec ce nouveau règlement, ses principes de minimisation de la collecte et de la rétention de données et d’obligation d’accord des personnes concernées pour tout traitement sont formalisés plus explicitement.
  • Évaluations d’impact du GDPR (Data Protection Impact Assessments [DPIA]) – Lorsque certaines données à caractère personnel devront être traitées, les entreprises devront d’abord analyser les risques d’atteinte à la vie privée des personnes concernées que recouvrent ces traitements. Il s’agit d’une obligation explicite du nouveau règlement.
  • Droit à l’effacement et à l’oubli – C’était une demande exprimée depuis longtemps au titre de la DPD, pour permettre à tout consommateur ou usager de demander la suppression des données à caractère personnel le concernant. Le GDPR étend ce droit, qui recouvre désormais toutes les données publiées sur le Web. Il s’agit là du « Droit à l’oubli » qui fait néanmoins toujours l’objet de controverses.
  • Extraterritorialité –  Le nouveau principe d’extraterritorialité du GDPR signifie que même lorsqu’une entreprise n’est pas physiquement présente dans l’UE, mais si elle recueille des données à caractère personnel relatives à des ressortissants de l’UE – par exemple au travers d’un site Web –, alors toutes les obligations définies par le GDPR lui sont applicables. En d’autres termes, cette nouvelle législation a une portée dépassant les frontières de l’UE. Les entreprises extra-européennes les plus affectées seront celles dont les activités comprennent le commerce électronique et les prestations dans le Cloud.
  • Notification en cas d’atteinte aux données – Au titre des nouvelles obligations qui ne figuraient pas dans la DPD, les entreprises devront, en cas d’atteinte à des données à caractère personnel qui leur serait révélée, en notifier l’autorité de contrôle dans un délai de 72 heures à compter de la détection. Une telle violation devra aussi être signalée à la personne concernée, mais seulement si elle engendre « un risque élevé pour ses droits et libertés ».
  • Amendes – Le GDPR prévoit des sanctions financières graduées qui pourront être très substantielles pour les entreprises en infraction. Les plus sérieux manquements au règlement encourront une amende pouvant représenter jusqu’à 4 % du chiffre d’affaires global de la compagnie. Il s’agira notamment des manquements aux principes fondamentaux du texte, tout particulièrement celui du respect de la vie privée dès la conception d’un système. Une amende plafonnée à 2 % du chiffre d’affaires global – ce qui reste énorme – peut être appliquée si l’entreprise n’effectue pas correctement le suivi de toutes les informations utiles ou si elle manque à notifier à l’autorité de contrôle et, le cas échéant, à la ou les personnes concernées, la détection d’une atteinte à des données à caractère personnel. Ainsi, le manquement à l’obligation de notification est considéré comme une infraction grave à la législation, punie sévèrement.

De manière générale, le message envoyé aux entreprises concernées par le GDPR est qu’il est désormais encore plus crucial qu’avant de traiter les données à caractère personnel avec un soin tout particulier et rigoureux, c’est-à-dire notamment de savoir en permanence où sont conservées les données sensibles, qui les exploite et qui peut disposer de l’accès à ces données.