La révolution de la GDPR

Posté le : 12 février 2018
Temps de lecture : 3 minutes

Adopté le 27 avril 2016, le Règlement européen (« General Data Protection Regulation » ou GDPR) constitue la nouvelle législation de protection des données personnelles. L’ensemble des organisations concernées (entreprises, administrations, associations…) disposait d’un délai de deux ans pour leur permettre de prendre tous les mesures (structurelles, organisationnelles, juridiques et contractuelles) qui assureront leur conformité à ce nouveau Règlement. Le délai arrive à son terme, et le 25 mai 2018, la GDPR devient pleinement obligatoire !

La GDPR change profondément le paradigme de la protection des données personnelles. On passe d’un système statique, fondé sur des Déclarations CNIL préalables aux traitements et des contrôles CNIL postérieurs et ponctuels… à un système dynamique d’auto-certification par les organisations, et de justification permanente de la protection des données personnelles en leur sein.

Liée à la Charte européenne des Droits Fondamentaux, la GDPR conserve l’inspiration des premières législations nationales de la fin des années 70 et de la Directive de 1995 : protection de la personne humaine contre les traitements de ses données personnelles effectués par les administrations et les entreprises qui porteraient atteinte à leur vie privée, leurs droits et leurs libertés fondamentales.

Les données personnelles n’ont pas seulement une dimension technique et une valeur économique, mais sont également une émanation de l’individu. En tant que telles, elles sont liées à sa vie privée, à ses habitudes de consommation, à ses activités professionnelles, et elles conditionnent l’exercice effectif de ses droits au sein de nos nouvelles « républiques numériques ».

Depuis 1995, l’économie de la data a explosé : l’évolution des technologies (Cloud, UGS, IoT, etc.) et les nouvelles pratiques (big data, profiling, data marketing) ont conduit à l’avènement d’une « data driven economy » dans laquelle de plus en plus d’activités économiques et de fonctions administratives sont assurées via des données toujours plus nombreuses et variées, collectées de manière systématique et exponentielle.

Or, la Directive de 1995 ne suffisait plus à harmoniser les droits des états membres, ni à assurer une protection efficace des données en particulier sur internet. Ces disparités créent de la méfiance, et la méfiance nuit à la fluidité des activités économiques et au libre flux des données qui la conditionne. La GDPR a donc pour ambition d’aménager le renforcement significatif de la protection des données personnelles avec les principes fondateurs de l’UE dont les impératifs de liberté, sécurité, progrès économique et social et convergence des économies.

La GDPR s’appuie sur un postulat : plus les échanges de données s’intensifient, plus celles-ci doivent être protégées contre les risques d’atteintes, de détournement, de fuite ou d’utilisation non autorisée. La GDPR définit aussi un objectif : permettre à l’individu de reprendre le contrôle de ses données.

Cette volonté est cependant à concilier avec les impératifs économiques et les avantages de l’innovation, qui impliquent une nécessaire circulation des données. C’est pour cela que la GDPR impose désormais aux entreprises de moderniser leurs systèmes d’information, de déployer une vraie gouvernance de la data et de justifier des données qu’elles collectent, afin de renforcer la confiance et de favoriser un développement technologique et économique optimal, dans le respect des droits individuels.

Article suivant

L’information des personnes physiques

L'information des personnes physiques
Les responsables de traitements et les sous traitants
Article précédent

Les Responsables de traitements et les Sous-traitants