Qu’est-ce que le GDPR? En quoi est-ce une avancée majeure pour la protection des données en ligne?

Le GDPR est un nouveau règlement européen qui va donner plus de droits aux individus sur le contrôle de leurs données personnelles traitées par les entreprises ou autres institutions. C’est par exemple le droit à la consultation, le droit à l’oubli ou le droit de transférer des données personnelles collectées par un site internet.

Le GDPR va imposer aux entreprises de prendre en compte la protection des données dans leurs activités. Par exemple, si je lance un nouveau site web de e-commerce, je vais devoir mieux informer les utilisateurs si je collecte leurs données et surtout obtenir leur consentement.

Fini les petites lignes des termes et conditions à cocher lors d’une inscription sur un site, tout sera bien plus clairement expliqué. Si en tant qu’utilisateur je valide, j’aurais aussi le droit de retirer mon consentement par la suite, ce qui n’était pas forcément le cas avant. 

Quelles seront les obligations pour les entreprises?

Un grand principe du GDPR, c’est la transparence sur l’utilisation des données et les mesures mises en place pour leur protection. Le GDPR va imposer aux entreprises d’adopter dès le début les bonnes mesures techniques pour se protéger des fuites via un hacking.

Elles devront pouvoir prouver en cas de piratage qu’elles ont tout fait pour garantir la protection des données. En cas de fuite avéré, elles auront 72 heures pour réagir et prévenir les autorités compétentes et parfois même les utilisateurs.

Lorsque ces autorités feront un audit pour comprendre ce qui s’est passé, elles devront fournir une liste précise des cas où elles collectent et traitent des données personnelles, les preuves des mesures de protection adéquates et surtout prouver le consentement des utilisateurs. Si ce n’est pas possible, les pénalités seront plus graves.

Les entreprises suisses seront-elles concernées par cette réglementation européenne?

A partir du moment où une entreprise suisse offrira des biens et services à des résidents européens, les règles du GDPR lui seront imposées. Pour le moment, la Suisse est soumise à sa propre réglementation: la LPD qui est en cours de révision.

La LPD qui n’est pas à un niveau de protection aussi élevé va prochainement atteindre l’efficacité du GDPR, car il est important que la Suisse garde son adéquation avec la réglementation européenne sinon une entreprise qui a une succursale en France ou en Allemagne ne pourra plus échanger de données.

Concrètement, qu’est-ce que cela va changer dans l’organisation et la gouvernance des entreprises?

Le règlement européen demande dans la majeure partie des cas de mettre en place un «DPO» – data protection officer – pour gérer spécifiquement ces questions. Le GDPR est un projet multidisciplinaire qui touche toutes les fonctions de l’entreprise et cela va changer les mentalités.

L’employé du marketing ne pourra plus envoyer des mails à tous les clients sans leur consentement, idem pour le vendeur qui aura des règles à respecter pour démarcher les clients. Il y a aussi plusieurs activités qui risquent de disparaître, notamment les sociétés qui basent leur fonds de commerce sur la revente des données personnelles. Cela va redistribuer les cartes.