Cet article est une introduction à la General Data Protection Regulation (GDPR) dans le cadre de vos projets Big Data.
Pour plus d’informations, téléchargez notre mini guide > GDPR : où en êtes-vous ?

Attention toutefois ! Il n’est pas destiné à être un conseil juridique, mais plutôt une remise à niveau sur les changements que la GDPR va apporter.

Les termes de la GDPR à définir

Données personnelles

Toute information relative à un être humain (ou à une personne concernée) qui peut être utilisée pour identifier directement ou indirectement cette personne. Avec l’arrivée de la GDPR, cette définition a été élargie puisqu’elle comprend aujourd’hui les données online. Exemples: nom, photos, adresses e-mail, coordonnées bancaires, publications sur les réseaux sociaux, sites Web, informations médicales, adresses IP, données de localisation, etc.

Données sensibles

Ce sont les données à caractère personnel qui font apparaître, directement ou indirectement, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à leur santé ou à leur orientation sexuelle. Elles ne peuvent être traitées qu’avec un consentement explicite des individus.

Traitement de données

Ce large terme désigne toute opération effectuée sur des données à caractère personnel, via des moyens automatisés ou non. Figurent parmi les exemples de traitement la collecte, l’enregistrement, l’organisation, le stockage, l’utilisation et la destruction de données à caractère personnel.

Responsable du traitement

Le responsable du traitement est la personne qui détermine – seule ou conjointement avec d’autres – les finalités et les moyens du traitement de données (les méthodes de collecte et de traitement).

Les principes émergeants de la GDPR

Qui est concerné ?

• Toutes les entreprises implantées dans l’Union Européenne et procédant au traitement de données à caractère personnel, quelle que soit sa taille.

• Toutes les entreprises non implantées dans l’Union dès lors qu’elles procèdent à un traitement de données lié à des personnes situées au sein de l’Union Européenne.

Obligation de désigner un DPO

La GDPR prévoit la création d’un poste de Délégué de la protection des données (DPO). Ses missions seront :

• contrôler le respect de la réglementation par l’entreprise ;
• être le point de contact avec l’autorité de contrôle et les individus ayant des questions sur le traitement de leurs données personnelles ;
• conseiller et informer l’entreprise, ses employés et les éventuels sous-traitants.

Responsabilité

Les entreprises doivent s’assurer d’être conforme aux obligations de la GDPR et être en mesure de démontrer le respect de ses principes.

Notification des violations

En cas de violation, l’entreprise est dans l’obligation d’informer leur autorité de contrôle, et si possible dans les 72 heures suivant sa découverte.

Consentement valide

Le responsable de traitement doit être en mesure de démontrer que la personne concernée par un traitement de données a bien donné son consentement.

Opposition au profilage

Toute personne peut s’opposer au traitement automatisé de ses données à caractère personnel dans le but d’évaluer certains aspects personnels relatifs à une personne physique (analyse, prédiction, etc.).

Protection de la vie privée dès la conception

Le responsable de traitement doit mettre en œuvre toute mesure de protection des données (pseudonymisation, minimisation, etc.) dès la conception ; c’est à dire, identifer les moyens de traitement.

Portabilité des données

Toute personne concernée par le traitement de ses données peut obtenir, du responsable du traitement, une copie de ses données personnelles traitées et, le cas échéant, le transfert de ces données à un tiers.

Sanctions

La violation des principes de bases dont les conditions du consentement ou encore les droits des personnes concernées, seront sujettes à une sanction pouvant s’élever à 20 millions ou 4% du chiffre d’affaires mondial annuel.