DPO as a Service (GDPR)

DPO as a Service (GDPR)

La GDPR (General Data Protection Regulation) entre en vigueur en mai 2018. Ce règlement s’appliquera à toute entreprise amenée à collecter et manipuler les données de ses clients, y compris le simple fichier client.

Quel est le principe ?

Le point majeur concerne le principe du consentement à la collecte et à la conservation des données, une notion qui constitue l’une des spécificités du droit européen. Les données personnelles appartiennent aux citoyens et les entreprises, et notamment les géants américains (Facebook, Google, Apple, Amazon, Microsoft et consorts), ne pourront donc plus arguer d’une présomption de consentement pour justifier de l’utilisation des infos de leurs clients et usagers.

Concrètement, que prévoit la GDPR ?

Les entreprises devront désormais fournir des informations précises sur leur pratique de collecte et de conservation des données personnelles. Les usagers disposeront de plus d’informations sur la façon dont leurs données sont traitées. Des informations qui devront en outre être formulées de manière claire et précise dans un souci de transparence.

Les obligations imposées aux entreprises

Si la GDPR simplifie globalement les formalités administratives, il impose un certain nombre de contraintes aux entreprises :

  • Respect de la protection des données dès la conception (article 25 §1)
  • Obligation de sécurité par défaut (article 25 §2)
  • Obligation de documentation (article 24);
  • Étude d’impact avant la mise en œuvre de certains traitements (article 35);
  • Obligation de nommer un délégué à la protection des données ou « Data Protection Officer » (article 37), garant des moyens mis en œuvre par l’entreprise.

Le législateur a prévu un arsenal de sanctions administratives en cas de non-respect de la réglementation, allant du simple avertissement à une amende d’un montant pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise en cas d’infraction aux règles applicables au consentement ou d’infraction aux transferts de données personnelles hors de l’Union Européenne.