Ce livre blanc parcourt l'ensemble des points clés concernant le RGPD, qui touchera toute entreprise traitant des données de citoyens européens, le 25 mai 2018.
"Ce nouveau règlement remplace la directive sur la protection des données personnelles adoptée en 1995, qui constituait jusqu’alors le texte de référence européen en matière de protection des données à caractère personnel.
L’adoption de ce nouveau règlement général sur la protection des données va permettre à l’Europe de s’unifier via un cadre juridique commun et de s’adapter aux nouvelles réalités du numérique ainsi qu’à ses dérives.
Cette réglementation contraignante oblige à documenter l’ensemble des processus informatiques, à effectuer certaines analyses de risque ou encore à signaler toutes atteintes qui concernent les données personnelles.
De manière plus générale, elle renforce le droit des personnes et vise une protection des données à caractère personnel plus astreignante permettant une meilleure confidentialité de ces informations sensibles.
Le RGPD met aussi un point d’honneur à réguler et surveiller la Protection des Données dès la conception. C’est le fameux principe de PbD, pour Privacy by Design.
La finalité c’est de minimiser la collecte des données à caractère personnel, de supprimer les données qui ne sont plus nécessaires, d’en restreindre les accès, ou encore de sécuriser les données tout au long de leur cycle de vie.
Le terme de données à caractère personnel ou PII (Personally Identifiable Information) est une expression vaste. Juridiquement, selon l’art. 2 de la loi informatique et libertés, «constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement ».
Il peut s’agir d’un nom, d’un prénom, d’une adresse, d’une plaque d’immatriculation ou de n’importe quels éléments qui sont propres aux consommateurs.
Il faut savoir que le RGPD s’applique à toute entreprise recueillant des données à caractère personnel de ressortissants européens et cela, qu’elles aient ou non une présence physique dans l’UE.
C’est le principe d’extraterritorialité ! Pour être plus clair, si une entreprise Américaine recueille des données relatives à des ressortissants de l’UE, elle encourt les mêmes obligations légales qu’une entreprise qui aurait son siège en France, ou en Allemagne, et cela même si elle ne dispose d’aucune antenne ni d’aucun serveur sur le territoire de l’UE."
