Ainsi les entreprises devront pouvoir à tout moment prouver la traçabilité des consentements et le traitement des données personnelles de leurs clients, prospects ou partenaires.
La commission européenne poursuit l’harmonisation des réglementations nationales des pays membres destinées à répondre aux besoins des entreprises. Elle inscrit ainsi son action dans la continuité du règlement eIDAS. Plus de 90% des entreprises européennes souhaitent en effet avoir une loi commune sur la protection des données à caractère personnel. Et pour cause, chaque pays membre possède des lois différentes sur le traitement et la sécurité des données. Par exemple, en Espagne la signature électronique ne pouvait s’effectuer que via un certificat remis en face à face basé sur un Support durable (SSCD), en Belgique seuls certains documents ne pouvaient être signés électroniquement et uniquement en utilisant le certificat de signature embarqué sur la carte d’identité électronique des citoyens Belges qui nécessite un lecteur de carte spécifique.
Le GDPR se substitue à la directive datant de 1995 sur la protection des données, qui définissait déjà le cadre juridique général de la protection des données personnelles dans le domaine de l’informatique. Celui-ci prévoit, entre autres, le droit d’accès et de rectification aux données et le principe du consentement. Ce cadre juridique a permis à chaque membre de l’UE une transposition dans son droit national. Pour exemple, le modèle général de la Commission nationale Informatique et libertés (CNIL), établi en France, a servi à instituer une autorité de protection des données personnelles à l’échelle européenne, conformément à l’article 28 de la directive du GDPR.
L’impact direct pour la France est que le GDPR va contraindre l’entreprise à définir le niveau le plus élevé d’utilisation des données personnelles recueillis. Ainsi, à chaque nouvelle souscription ou adhésion à un produit ou service, l’entreprise devra obtenir le consentement express et spécifique de l’utilisateur. Le traitement de ces données devra concerner uniquement les données dites « nécessaires » au bon fonctionnement du produit ou du service.
Aux établissements publics et aux entreprises amenées à gérer des données personnelles à grande échelle, le GDPR impose de nommer un DPO (Data Protection Officer, ou délégué à la protection des données). Celui-ci sera le garant légal de la conformité GDPR. Etant donné le nombre important d’organisations de ce type en France, nous devrions assister à de nombreuses créations de poste dans les prochains mois.
Le GDPR vise à consolider la protection des données individuelles, considérant que si une entreprise ne peut déterminer directement l’identité d’un individu à partir des données collectées, un tiers de confiance reconnue dans la « Trusted list » liste de confiance comprenant des tiers certificateurs ou des autorités d’enregistrement pour le compte d’un tiers de confiance - pourraient potentiellement le faire.
Bruxelles utilise la manière forte pour pousser les entreprises à se mettre en conformité. La réglementation prévoit pour les réfractaires des amendes pouvant aller jusque 4% du chiffre d’affaires annuel de l’entreprise. Il est donc urgent pour les entreprises traitant des données en masse de s’y conformer.