Avis d’expert : Toutes les fausses idées qu’on se fait à propos du RGPD

Tomasz Stefanski, Sharp Europe, nous propose son avis sur cette question brûlante. Le Règlement Général sur la Protection des Données entre en vigueur le 25 mai, et vise à harmoniser les lois sur la protection de la vie privée dans toute l'UE et au-delà. Mais savez-vous exactement tout ce qu'il implique ? Il est temps de briser quelques mythes autour du RGPD et de la responsabilité des entreprises.

Le Règlement Général sur la Protection des Données (RGPD) vise donc à uniformiser la législation en matière de protection des données dans tous les pays de l’Union Européenne. Il s’applique en outre à toutes les entreprises et sociétés qui traitent, gèrent ou manipulent les données personnelles de ressortissants de l’UE.

Le RGPD exige que les entreprises mettent en place des mesures de protection des données personnelles des consommateurs et des employés. Les sociétés sont tenues de mettre en place des règles de transparence, permettant aux individus de consulter et de modifier les données que les entreprises détiennent à leur sujet. 

Le RGPD exige également que les entreprises protègent leurs données personnelles et les gardent à l’abri de toute faille de sécurité. Pour se conformer au RGPD, de nombreuses entreprises devront déployer de nouveaux outils de gestion et de stockage des documents (sur le Cloud ou sur un serveur), ou mettre à jour les outils dont elles disposent déjà. Le non-respect du RGPD peut entraîner des amendes pouvant aller jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires annuel global.

Par conséquent, il est impératif que les entreprises comprennent leurs responsabilités en matière de conformité.

Le RGPD a été adopté par l’Union Européenne le 27 avril 2016, pour une mise en application deux ans plus tard, à partir du 25 mai 2018. Au cours de l’élaboration, de nombreuses questions ont été posées au sujet des règlements et de la façon dont ils seront appliqués. Nous examinerons ici quelques questions et fausses idées récurrentesconcernant l’impression, la numérisation et le stockage numérique des données.

Le RGPD ne s’applique-t-il qu’à l’information numérique ?

Bien que de nombreuses entreprises se concentreront principalement sur la conformité et le stockage des données personnelles sous forme numérique, le nouveau règlement s’applique également aux données imprimées sur papier.  L’impression de données personnelles sur papier entraîne quelques règles spécificités : l’entreprise doit savoir à tout moment où elles sont stockées, combien de copies sont disponible, qui peut les consulter, ou de quelle façon il peut y accéder si un individu demande à consulter ses propresdonnées.

Pour beaucoup, la meilleure façon de se conformer au RGPD sera donc de s’éloigner du papier, et de toutes ces règles encore plus contraignantes, et de numériser toutes les données : une opération rendue possible en scannant et en stockant (localement ou sur le Cloud) à l’aide d’un outil respectueux des nouvelles réglementations.

Le RGPD s’applique-t-il aux petites entreprises ?

Si votre entreprise stocke les données personnelles d’un citoyen de l’UE, elle doit se conformer au RGPD, quelle que soit sa taille. Dans certains cas, des concessions ont été faites à des certaines entreprises, mais le règlement stipule que « le traitement des données et la surveillance des personnes » doivent devenir des priorités pour toutes les entreprises. Par conséquent, il est préférable de supposer que votre entreprise a besoin de se conformer à la réglementation.

Le RGPD s’applique-t-il aux États-Unis ? Le RGPD s’applique-t-il en dehors de l’Europe ?

Le RGPD s’applique à toute entreprise qui pratique des activités commerciales avec n’importe quel pays de l’Union Européenne, et stocke les données personnelles de l’un de ses ressortissants. C’est un point crucial qui doit être compris de tous : toute entreprise qui fait affaire au sein de l’Union Européenne doit se conformer au RGPD ou faire face à de lourdes amendes.

Le RGPD s’applique-t-il aux données que nous stockons dans le Cloud ?

De nombreuses entreprises s’imaginent qu’il suffit de transférer toutes leurs données dans le Cloud, et qu’il incombera alors à leur fournisseur Cloud de se mettre en conformité avec le RGPD. Ce n’est évidemment pas le cas et la confusion pourrait facilement se terminer par une amende en vertu du règlement.

Le cryptage des données est-il suffisant pour se conformer au RGPD ?

Si vous stockez des données en ligne, le chiffrement doit déjà être en place et, peut être considéré comme une première étape vers la protection des informations. Cependant, le chiffrement n’est pas suffisant pour répondre aux exigences du RGPD.

Le RGPD est-il le seul règlement concernant le traitement et la protection des données ?

Le RGPD se substitue à une grande partie de la législation européenne concernant la protection des données personnelles, mais il n’est cependant la seule directive à laquelle les entreprises de toutes tailles doivent se conformer. Quelle que soit la taille de votre entreprise, vous devrez également respecter les règles nationales en vigueur en matière de protection de la vie privée – et celles-ci varient généralement d’un pays à l’autre.

Si on se conforme aux lois nationales sur la protection des données personnelles, est-on en conformité avec le RGPD ?

Comme mentionné ci-dessus, le RGPD vise à uniformiser les législations européennes concernant le traitement des données. Mais il n’interfère pas avec les lois nationales sur la protection de la vie privée des particuliers.

Tags :Sources :sharp
  1. Cocnernant les 2tats-unis c’est malheureusement exact sur le plan théorique et inexact sur le plan réel; les états-unis ne reconnaissent pas la légitimité légale européenne. Il suffit pour cela d’une part de voir les mesure prises par les USA à l’encontre des entreprises européennes en dehors de tout droit (ne parlons pas de celui des individu pour lesquels la solution du drone tueur est le plus souvent utilisée), d’autre part de voir les cas google et facebook qui n’ont jamais rien payé sur les amendes qui ne sont finalement que des ghistoires médiatiques sans aucun effet.

    la loit doriginelle est pourtant claire: tant qu’un individu n’a pas donné son consentement explicite et donc en l’absence de celui ci il est interdit d’utiliser les données.

    La RGPD dit le contraire: inversion des normes destinées à pouvoir utiliser les données des gens sans leur consentement ECLAIRE. C’est la plus grosse arnaque de ce type de l’historie de l’informatique.

    90% des utilisateur ne comprennent rien à ce qui est mis en place soit-disant pour cette loi. Sans compter que les sites du type yourchoice etc sont totalement inefficace, non fonctionnel pour ne pas dire incompétents. La plupart du temps ca ne marche pas.

    L’objectif réel de cette loi, comme d’ailleurs la quasi totalité des récentes lois européennes (ordonnées par une commission non démocratique et à l’encontre des députés qui ne sont finalement qu’une assemblée d’enregistrement) est la mise au pas des citoyens européens. qui ne deviennent plus que des consommateurs dont on ne veut surtout pas qu’ils puissent savoir ce qu’ils consomment. l’histoire du glyphosate en est un triste exemple.

    De plus cette loi a aussipour objectif de contourner les lois nationales sur la vie privé. C’est donc de plus une loi qui va à l’encontre des décisions des peuples et de leur souveraineté. C’est une loi liberticide, mais à la Huxley. Rien ne se voit, 99% des gens n’y comprennent rien. Même les professionnels informatiques sont souvent largués sur les implication démocratique, économique et légale du problème.

    Et tout autant, il s’agit d’une directive, il n’y a donc aucune obligation de l’adopter. Mais en france, ou la démocratie est très fortement en recul depuis quelques années, on s’est dépêché de le faire (mais pas pour le glyphosate remarquerez vous).

    Quand au Cloud, il n’y a aucun moyen de quelque façon que ce soit, ne serait qu’avec la loi sur le secret des affaires, de savoir si l’opérateur Cloud tiendra compte de la loi. Bien au contraire, ils ne tenaient déjà pas compte des lois existantes, pourquoi tiendraient ils comptent d’une loi qui n’aura aucun moyen de leur être opposable car il n’y a aucun moyens prévus pour sanctionner ceux qui ne s’y conformeraient pas.

    Google et Mcirosoft vendaient déjà les données (comme Carte Bleue, les banques, la Grande Distribution, les opérateurs Télécom etc…) alors qu’il y avait des lois qui l’interdisaient. Maintenant, on va continuer en arguant de la méconnaissance des utilisateurs.

    La CNIL a déjà du mal à faire appliquer les lois française existante, en France, est totalement inexistante au niveau européens, totalement insignifiante au niveau international. Elle n’aura absolument aucun moyen supplémentaire pour traiter cette directive. Il suffit de regarder la loi de budget 2019 pour s’en convaincre.

    En gros cela revient un peu à rendre Dutrou titulaire d’un poste d’enseignant en maternelle.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité