Le règlement général sur la protection des données(RGPD) entre en vigueur le 25 mai et va complètement remanier la manière dont les entreprises traitent et manipulent les données et donner aux individus un plus grand contrôle sur les personnes qui collectent et traitent leurs données, sur l’usage qui en est fait et sur la manière dont elles sont protégées.

Bien que l’échéance du mois de mai se rapproche de plus en plus, un certain nombre de mythes entourant le GDPR doivent encore être dissipés.

TOP GDPR Mythes

Mythe 1 : Toutes les entreprises doivent désigner un DPD

C’est faux. Seules certaines organisations devront désigner un délégué à la protection des données (DPD) en vertu du GDPR.

 Vous devez désigner un DPD si

  • vous êtes une autorité publique
  • vos activités principales nécessitent un suivi à grande échelle, régulier et systématique des individus
  • vos activités de base consistent en un traitement à grande échelle de catégories particulières de données ou de données relatives à des condamnations pénales et à des infractions

Le DPD doit être un expert du GDPR et des pratiques en matière de protection de la vie privée, car il est responsable du suivi et de l’établissement de rapports sur la conformité au GDPR.

Les DPD doivent aider à guider les responsables du traitement des données et les sous-traitants en vérifiant la conformité interne et en proposant des recommandations correctives appropriées le cas échéant. Les DPD doivent également agir de manière indépendante au sein de l’organisation.

Mythe 2 : Le GDPR ne concerne que les entreprises européennes

C’est faux. Bien que le GDPR soit un règlement européen, il a des implications plus larges. Peu importe où vous vous trouvez dans le monde, si votre entreprise est basée en dehors de l’UE mais qu’elle effectue des transactions commerciales avec une personne basée en Europe, le GDPR s’appliquera.

De même, si une entreprise a son siège en dehors de l’UE mais exerce des activités en Europe, elle doit également se conformer au règlement. Le GDPR concerne les données personnelles et la localisation de la personne au moment où ses données sont collectées. C’est ce qui détermine l’applicabilité du règlement.

Mythe 3 : le GDPR ne s’appliquera pas au Royaume-Uni en raison du Brexit

C’est faux. Le GDPR s’appliquera toujours après le Brexit. Le GDPR est conçu pour réglementer la manière dont les organisations traitent et contrôlent les données personnelles des citoyens de l’UE, quel que soit l’endroit où ils se trouvent. Le Royaume-Uni ne quittera pas l’Union européenne avant avril 2019, de sorte que le droit européen continuera de s’appliquer sur le territoire britannique.

Mythe 4 : Les amendes constituent la plus grande menace pour votre entreprise

C’est faux. Bien que les organisations qui enfreignent le GDPR soient passibles d’amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, les entreprises qui ne se conforment pas au GDPR sont confrontées à toute une série d’autres problèmes.

Le GDPR exige que les organisations divulguent toute violation de données personnelles à l’autorité de contrôle compétente dans les 72 heures suivant sa détection.  Si la violation entraîne un risque élevé d’atteinte aux droits et libertés d’une personne, celle-ci doit également être notifiée avec effet immédiat.

Cette incertitude et cette perte de données pourraient inciter les clients à quitter l’entreprise et à se tourner vers la concurrence. La perte de confiance des consommateurs pourrait à son tour nuire à la réputation d’une entreprise et entraîner une perte de revenus.

Mythe 5 : Le consentement est la seule façon de traiter les données

C’est faux. Un grand nombre d’organisations partent du principe que le consentement est la seule base juridique pour le traitement des données à caractère personnel. Le consentement n’est qu’une des six finalités légitimes requises pour tout traitement de données à caractère personnel.

En vertu du GDPR, le « traitement licite » n’est possible que lorsque :

  • La personne concernée a donné son consentement
  • Le traitement est nécessaire à l’exécution d’un contrat avec la personne concernée
  • Le traitement est nécessaire pour respecter une obligation légale
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux d’une personne concernée ou d’une autre personne
  • Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque les intérêts, les droits ou les libertés de la personne concernée l’emportent sur ces intérêts.

Si vous ne savez pas si votre entreprise est sur la bonne voie pour se conformer au GDPR, contactez-nous pour savoir comment nous pouvons vous aider. MetaPrivacy a été spécialement conçu pour fournir une approche des meilleures pratiques en matière de respect de la confidentialité des données.