Le Règlement général sur la Protection des données (RGPD) est le nouveau cadre légal qui prendra effet le 25 mai 2018 dans l’Union européenne (UE). Les réglementations européennes ont une incidence directe sur les États membres de l’UE, en ce sens que le RGPD primera sur toutes les lois nationales.
Le RGPD a pour objet la protection des données à caractère personnel, c’est-à-dire les données concernant les individus. Il s’agit de l’un des plus grands bouleversements de la réglementation encadrant le traitement des données à caractère personnel.
Le RGPD concerne non seulement les entreprises, mais potentiellement toute personne, entreprise, autorité ou administration publique, ou toute autre organisation traitant les données à caractère personnel de résidents de l’UE.
Sont inclus notamment dans cette liste les fournisseurs ou tout autre tiers auxquels une entreprise peut faire appel pour gérer les données à caractère personnel.
Le champ d’application du texte est étonnamment vaste, puisqu’il englobe tous les États membres de l’Union européenne, ainsi que le Royaume-Uni post Brexit en 2019, car le RGPD sera intégré à la législation britannique.
Contrairement à la Directive 95/46 de l’UE sur les règles de protection des données à caractère personnel, le RGPD concernera également les sociétés basées en dehors de l’UE qui proposent des biens ou des services aux résidents de l’UE, ou qui étudient leur comportement au sein de l’UE. Par exemple, les sociétés d’hébergement de sites Internet situées aux États-Unis et hébergeant des sites consultables par des personnes vivant dans l’UE sont directement impactées.
Dans le monde entier, de nombreuses entreprises vont être confrontées aux implications très importantes de ce texte pour chacune de leurs fonctions.
Certaines entreprises auront besoin d’embaucher ou de désigner un Délégué à la protection des données (Data Protection Officer – DPO). La plupart d’entre elles seront obligées de mettre en œuvre des mesures et des garde-fous supplémentaires.
Faire mener un audit par un professionnel qualifié est vivement recommandé.
Compte tenu également des risques de sanctions financières pouvant atteindre 4 % du chiffre d’affaires mondial annuel ou 20 millions d’euros (le montant le plus élevé étant retenu), une bonne compréhension du RGPD est indispensable.