Le règlement général sur la protection des données(RGPD) entre en vigueur le 25 mai et va complètement bouleverser la façon dont les entreprises traitent et manipulent les données et donner aux individus un plus grand contrôle sur qui collecte et traite leurs données, à quoi elles servent et comment elles sont protégées.
Bien que l'échéance de mai se rapproche de plus en plus, un certain nombre de mythes entourant le GDPR doivent encore être dissipés.
TOP Mythes sur le GDPR
Mythe 1 : Toute entreprise doit nommer un DPO
C'est faux. Seules certaines organisations devront désigner un délégué à la protection des données (DPD) en vertu du GDPR.
Vous devez nommer un DPO si :
- vous êtes une autorité publique
- vos activités principales nécessitent un suivi à grande échelle, régulier et systématique des individus
- vos activités principales consistent en un traitement à grande échelle de catégories spéciales de données ou de données relatives à des condamnations pénales et à des infractions.
Le DPO doit être un expert du GDPR et des pratiques en matière de protection de la vie privée, car il est responsable du suivi et du reporting de la conformité au GDPR.
Les DPD sont censés aider à guider les responsables du traitement des données et les sous-traitants en vérifiant la conformité interne et en suggérant des recommandations correctives appropriées si nécessaire. Les DPD sont également censés agir de manière indépendante au sein de l'organisation.
Mythe 2 : le GDPR ne concerne que les entreprises européennes
C'est faux. Bien que le GDPR soit une réglementation européenne, il a des implications plus larges. Peu importe où vous vous trouvez dans le monde, si votre entreprise est basée en dehors de l'UE mais qu'elle effectue des transactions commerciales avec un individu basé en Europe, alors le GDPR s'appliquera.
De même, si une entreprise a son siège en dehors de l'UE mais a des activités européennes, elle doit également se mettre en conformité. Le GDPR concerne les données personnelles et la localité de la personne lorsque ses données sont collectées. C'est ce qui détermine l'applicabilité du règlement.
Mythe n° 3 : le GDPR ne s'appliquera pas au Royaume-Uni en raison du Brexit
C'est faux. Le GDPR s'appliquera toujours après le Brexit. Le GDPR est conçu pour réglementer la manière dont les organisations traitent et contrôlent les données personnelles des citoyens de l'UE, quel que soit le lieu où elles se trouvent. Le Royaume-Uni ne quittera pas l'Union européenne avant avril 2019, de sorte que le droit européen continuera de s'appliquer au sein du Royaume-Uni.
Mythe n° 4 : les amendes constituent la plus grande menace pour votre entreprise
C'est faux. Bien que les organisations qui ne respectent pas le GDPR soient passibles d'amendes pouvant atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros, les entreprises non conformes sont confrontées à une série d'autres problèmes.
Le GDPR exige que les organisations divulguent toute violation de données personnelles à l'autorité de surveillance compétente dans les 72 heures suivant sa détection. Si la violation entraîne un risque élevé d'atteinte aux droits et libertés d'une personne, celle-ci doit également être notifiée avec effet immédiat.
Cette incertitude et cette perte de données pourraient amener les clients à quitter l'entreprise et à se tourner vers la concurrence. La perte de confiance des consommateurs pourrait à son tour nuire à la réputation d'une entreprise et entraîner une perte de revenus.
Mythe 5 : Le consentement est le seul moyen de traiter les données
Cette affirmation est fausse. Un grand nombre d'organisations partent du principe que le consentement est la seule base juridique pour le traitement des données à caractère personnel. Le consentement n'est que l'un des six objectifs légitimes requis pour tout traitement de données à caractère personnel.
En vertu du GDPR, un "traitement licite" n'est possible que lorsque :
- Il y a consentement de la personne concernée
- Le traitement est nécessaire à l'exécution d'un contrat avec la personne concernée.
- Le traitement est nécessaire pour se conformer à une obligation légale
- Le traitement est nécessaire pour protéger les intérêts vitaux d'une personne concernée ou d'une autre personne.
- Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
- Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf si les intérêts, les droits ou les libertés de la personne concernée l'emportent sur ces intérêts.
Si vous n'êtes pas certain que votre entreprise est sur la bonne voie pour se conformer au GDPR, contactez-nous pour savoir comment nous pouvons vous aider. MetaPrivacy a été spécialement conçue pour fournir l'approche des meilleures pratiques en matière de conformité à la confidentialité des données.
