Aller au contenu
La transformation numérique avec Microsoft

Avant de décrire spécifiquement la manière dont Microsoft peut vous aider à vous préparer au GDPR, nous souhaitons nous pencher sur certaines questions fondamentales et déterminantes relatives au règlement et à sa signification pour vous.

Qu’est-ce que le GDPR ?

Le règlement général sur la protection des données est un nouveau règlement de l’Union européenne portant sur la protection de la vie privée. Il donne aux citoyens un plus grand contrôle de leurs données personnelles, garantit la transparence de l’utilisation des données et exige des mesures de sécurité et de contrôle pour la protection des données.

Le GDPR s’applique-t-il à mon entreprise ?

Le champ d’application du GDPR est plus vaste qu’il n’y paraît de prime abord. Le règlement impose de nouvelles règles aux entreprises, agences gouvernementales, organismes à but non lucratif et autres organisations qui proposent des biens et des services aux citoyens de l’Union européenne (UE), ou qui collectent et analysent des données en lien avec des résidents de l’UE, où qu’ils se trouvent.

Contrairement aux lois sur la protection de la vie privée relevant de la compétence d’autres entités, le GDPR s’applique aux entreprises de toutes les tailles et de tous les secteurs d’activité. L’UE étant souvent perçue dans le paysage international comme un modèle exemplaire en matière de protection de la vie privée, nous nous attendons à voir d’autres régions du monde adopter les concepts du GDPR au fil du temps.

Quelle est la date d’entrée en vigueur du GDPR ?

Le GDPR entrera en vigueur le 25 mai 2018. Il remplacera l’actuelle Directive sur la protection des données personnelles (Directive 95/46/CE) qui est en vigueur depuis 1995. En réalité, le GDPR a été adopté par l’UE en avril 2016 mais il prévoit une période de transition de deux ans compte tenu des changements importants que devront mettre en oeuvre certaines organisations pour s’adapter aux exigences du règlement.

Quels sont les principaux concepts du GDPR ?

Le GDPR s’articule autour de six principes :

  • Exiger la transparence du traitement et de l’utilisation des données à caractère personnel.
  • Limiter le traitement de données à caractère personnel à des finalités déterminées et légitimes.
  • Limiter la collecte et la conservation de données à caractère personnel aux finalités prévues.
  • Permettre aux personnes de corriger leurs données à caractère personnel ou d’en demander la suppression.
  • Limiter la conservation de données d’identification personnelle à la durée nécessaire pour la finalité visée.
  • Garantir la protection des données à caractère personnel au moyen de pratiques appropriées en matière de sécurité.

Quels sont les exemples d’exigences du GDPR associés à ces principes ?

  • Au titre du GDPR, les personnes ont le droit de savoir si une organisation traite leurs données à caractère personnel et de comprendre les finalités de ce traitement. Chaque personne a le droit de faire supprimer ou corriger ses données, de demander qu’elles ne soient plus traitées, de s’opposer à la prospection et de révoquer son consentement à certaines utilisations de ses données à caractère personnel. Le droit à la portabilité des données confère aux personnes le droit de déplacer leurs données ailleurs et d’être aidées à le faire.
  • Le GDPR impose aux organisations de sécuriser les données à caractère personnel conformément à leur caractère sensible. En cas de violation de données, les opérateurs de traitement des données doivent de manière générale en informer les autorités compétentes dans un délai de 72 heures. En outre, si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des individus, les organisations devront également en informer les personnes concernées dans les plus brefs délais.
  • Le traitement de données à caractère personnel doit être fondé sur une base juridique. Tout consentement au traitement de données à caractère personnel doit être donné « de façon libre, spécifique, éclairée et univoque ». Le GDPR prévoit des exigences spécifiques de consentement pour la protection des enfants.
  • Les organisations doivent réaliser des analyses d’impact relatives à la protection des données afin d’évaluer les risques des projets pour la protection des données et de mettre en oeuvre des mesures pour les atténuer. Des registres des activités de traitement, des consentements au traitement des données et de la conformité avec le GDPR doivent être conservés.
  • La conformité avec le GDPR ne constitue pas une activité ponctuelle mais bien un processus continu. Le non-respect du GDPR peut entraîner de lourdes amendes. Pour garantir le respect du GDPR, les organisations sont encouragées à adopter une culture de la protection de la vie privée afin de protéger les intérêts des personnes dans leurs données à caractère personnel.

Pour consulter une présentation plus détaillée du GDPR et mieux comprendre des termes tels que « pseudonymisation », « traitement », « responsables du traitement », « sous-traitants », « personnes concernées » et « données à caractère personnel », rendez-vous sur Microsoft.com/GDPR. Nous nous engageons à vous aider à remplir les exigences du GDPR et à protéger davantage les droits de protection de la vie privée des personnes.

Prochaine étape : Démarrer avec le GDPR