La GDPR (General Data Protection Regulation) ou RGDP en France (Règlement général sur la protection des données) est un projet de règlement européen qui a émergé en 2015. Son objectif est de maintenir les principes fondamentaux de la protection des données personnelles (loyauté du traitement, pertinence des données, durée de conservation et sécurisation) tout en faisant face aux nouvelles réalités du marché liée aux réseaux sociaux ou encore au cloud computing. Par la même, elle permet d’accroître les droits des citoyens en leur donnant plus de maîtrise sur leurs données.

La GDPR passe par la mise en place d’un cadre juridique unique pour l’Union Européenne qui prévaut sur les lois nationales des Etats Membres. En France, la GDPR vient compléter les lois Informatiques et Libertés de 78 mais ne peut pas abroger la loi française. Afin d’éviter les incompatibilités entre normes européennes et droit national en vigueur dans les États Membres, les dispositions légales et réglementaires nationales doivent évoluer. A terme, la GDPR a pour vocation de devenir le mode de régulation sur la protection des données personnelles.

L’autorité compétente pour accompagner les différents organismes ou entités sous traitantes pour le compte d’un tiers dans leur mise en conformité avec la GDPR est la CNIL (Commission Nationale Informatiques et Libertés). La commission a renforcé ses équipes afin de répondre au pic d’activité lié à la communication auprès des acteurs concernés : Mise à disposition d’outils tels que des registres, des analyses d’impact (Privacy Impact Assessment), des FAQ, des guides de bonnes pratiques ou des packs TPE PME spécifiques pour aider ce type de structure dans leur mise en conformité.
La CNIL a également un rôle de contrôle auprès des entreprises qui doivent être compliant* GDPR depuis la date butoir du 25 mai 2018. Elles doivent pouvoir démontrer leur accountability** grâce à des plans d’actions censés mettre en conformité l’ensemble des traitements utilisés pour gérer des données citoyennes avec les nouvelles normes européennes. Des postes de responsables de traitement ou encore de délégués à la protection des données sont dédiés à la bonne application de ces normes.

La CNIL voit également son pouvoir de sanction augmenter. Les amendes encourues par les entreprises peuvent atteindre 4% de leur Chiffre d’affaires tout en étant plafonné à 20 millions d’euros. Des groupements de citoyens verront certainement le jour afin de vérifier de quelle manière les données sont traitées et pourront saisir la CNIL le cas échéant.

*conforme

**responsabilité