GDPR dans l’UE – Un guide complet pour tout savoir sur le sujet !

14-06-2024 | 16 | Conformité au RGPD, SAP Information Lifecycle Management

Il y a quelques jours, Europol, le gardien de l’ordre public de l’Union européenne, a confirmé l’existence d’une brèche dans un portail web ; une autre information fait état d’une brèche massive dans les données de Dell, qui a touché environ 49 millions d’utilisateurs. Nous entendons parler de plusieurs violations de données à travers le monde, qui affectent des organisations de toutes sortes. Bien qu’il soit pratiquement impossible d’éliminer complètement ces violations, il existe certainement des moyens de s’assurer que les données des utilisateurs ne sont pas affectées de manière extrême. Les lois sur la protection des données et de la vie privée garantissent précisément cela. En fait, la violation de données sur le web qui a touché Europol n’a affecté aucune donnée opérationnelle; même dans le cas de la violation de données de Dell, l’organisation a déclaré dans son communiqué qu’aucune donnée client, comme les informations financières et de paiement, les adresses électroniques et les numéros de téléphone, n’avait été dérobée lors de cette attaque. Grâce à des lois sur la confidentialité des données telles que le règlement général sur la protection des données, le risque de vol des données des utilisateurs diminue potentiellement.

Présenté comme la loi la plus stricte au monde en matière de protection de la vie privée et de sécurité, le règlement général sur la protection des données (RGPD) définit un cadre axé sur la manière dont une organisation peut collecter, traiter, stocker et transférer des données à caractère personnel. Ce règlement complet sur la protection des données permet de contrôler les lois sur la confidentialité des données dans tous les pays membres de l’Union européenne.

Un point important à garder à l’esprit : bien que la législation ait été rédigée et adoptée par l’UE, elle impose des obligations aux organisations non européennes si elles collectent des données relatives aux citoyens des pays membres de l’Union européenne. Avec la mise en œuvre du GDPR, l’Europe renforce sa position sur l’importance et les priorités de la confidentialité des données, en particulier à un moment où l’ère numérique est de plus en plus reconnue.

Le règlement est assez strict sur ses spécificités, ce qui peut rendre la mise en conformité avec le GDPR un peu fastidieuse pour les organisations, principalement celles qui opèrent dans le cadre de petites et moyennes entreprises. Cela dit, les entreprises qui ne se conforment pas aux exigences du règlement général sur la protection des données devront payer des amendes et des pénalités assez lourdes, pouvant atteindre des dizaines de millions d’euros.

Dans l’ensemble, la loi GDPR a été conçue pour offrir une meilleure protection et des droits plus étendus aux personnes qui consentent à ce que des organisations collectent leurs données personnelles. En outre, cette loi sur la protection de la vie privée met l’accent sur la manière dont les données des utilisateurs doivent être collectées, triées et utilisées, ainsi que sur les limites à respecter.

On dit que le règlement général sur la protection des données a harmonisé les règles de protection des données dans les pays membres de l’Union européenne. En fait, outre les pays de l’UE et les pays tiers, le GDPR s’applique également à toute organisation qui offre des services dans l’UE, quel que soit son lieu d’implantation.

Bien que de plus en plus de voix s’élèvent aujourd’hui pour défendre la confidentialité et la protection des données dans le monde numérique, le fait est que le « droit à la vie privée » a toujours été un sujet d’intérêt majeur dans le monde. En ce qui concerne l’UE, le « droit à la vie privée » fait partie de la Convention européenne des droits de l’homme de 1950, qui stipule que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».

Au fur et à mesure que nous avancions dans le monde avec des inventions technologiques plus avancées, la magie de l’internet, l’Union européenne a reconnu la nécessité de lois modernes, plus efficaces et plus strictes en matière de protection des données et de la vie privée. En 1995, l’UE a adopté un mandat, la directive européenne sur la protection des données, qui établit des normes minimales en matière de confidentialité et de sécurité des données. En 1998, la directive est entrée en vigueur et, à partir de là, chaque État membre a été chargé de mettre en œuvre sa propre législation conformément à la directive.

Cependant, à cette époque, l’internet avait déjà fait irruption dans le monde et l’ère de la numérisation et du fonctionnement en ligne avait commencé. C’est pourquoi, comprenant l’importance de disposer d’une loi sur la confidentialité des données à la fois raffinée, plus forte et plus stricte, le Parlement européen a introduit et adopté la loi sur le règlement général sur la protection des données en 2016. Le25 mai 2018, le GDPR est enfin entré en vigueur dans l’UE.

Dans cette section, nous verrons les bases du GDPR, divisées en trois sections – à qui s’applique-t-il, quelles sont les différentes sanctions et quelles sont les définitions clés.

En résumé, si votre organisation traite des données personnelles de citoyens appartenant aux pays membres de l’UE, ou si votre organisation offre des biens ou des services à des personnes au sein de l’UE, le GDPR s’applique à vous, même si votre entreprise n’est pas basée dans l’UE. La raison de la mise en œuvre du règlement général sur la protection des données est de protéger toutes les données appartenant aux citoyens de l’UE. Elle s’applique donc aux entreprises qui traitent ces données, qu’elles soient ou non basées dans l’UE. En fait, la loi s’appliquant aux organisations non européennes est présentée comme ayant un « effet extra-territorial ».

L’article 3 mentionne le champ d’application territorial du GDPR. Voici ce que vous devez savoir –

  • Selon le texte, le règlement s’applique au traitement des données à caractère personnel dans le cadre des activités d’une organisation relevant d’un responsable du traitement ou d’un sous-traitant dans l’Union, que le traitement ait lieu ou non au sein de l’UE.
  • Le GDPR est applicable au traitement des données personnelles des sujets qui se trouvent dans l’UE par un responsable du traitement ou un sous-traitant de l’Union, si les activités de traitement sont liées à – la protection de la vie privée et de l’intégrité physique des personnes.
  • les offres de biens et de services, que le paiement de la personne concernée soit ou non requis, aux personnes concernées dans l’Union ; ou
  • Le contrôle de leur comportement dans la mesure où il a lieu au sein de l’Union.
  • Selon le texte de l’article 3, le règlement général sur la protection des données s’applique au traitement de données à caractère personnel par un responsable du traitement situé en dehors de l’UE, mais dans un lieu où le droit de l’État membre s’applique en vertu du droit international public.

En outre, l’article 3.1 stipule que le GDPR est applicable aux organisations basées en dehors de l’UE, indépendamment du fait que les données soient stockées ou utilisées en dehors de la région. L’article 3.2 va plus loin et applique la loi aux organisations qui ne font pas partie de l’UE si les deux conditions suivantes sont remplies –

  • L’organisation offre des biens et des services dans l’UE
  • Surveille le comportement en ligne des citoyens de l’UE.

Cela dit, l’article 3.3 couvre quelques autres scénarios, comme les ambassades de l’UE ; nous en discuterons de manière approfondie dans nos prochains articles.

Pour être honnête, il est impératif de comprendre le champ d’application du GDPR car il s’applique à la fois aux membres de l’UE et aux non-membres de l’UE, ce qui rend la tâche un peu plus ardue. Bien que vous ayez déjà pris connaissance des cas où elle s’applique, voyons quelles sont les exceptions à cette règle.

Il existe deux exceptions importantes à cette règle, à savoir –

  • Le GDPR n’est pas applicable aux activités « purement personnelles ou domestiques ». Par conséquent, si votre organisation a collecté une adresse électronique, par exemple, pour organiser une journée avec les membres de votre équipe/collègues, il n’est pas nécessaire de crypter leurs coordonnées pour se conformer au GDPR. (mais il est toujours bon de le faire). Cela dit, le GDPR s’applique aux organisations exerçant des « activités professionnelles ou commerciales ». Ainsi, par exemple, si vous avez besoin de collecter des adresses électroniques auprès de votre cercle de connaissances pour collecter des fonds pour un événement, la loi GDPR peut s’appliquer à vous.
  • La deuxième exception à la conformité au GDPR s’applique aux organisations qui comptent moins de 250 employés. Gardez à l’esprit que les petites et moyennes entreprises ne sont pas totalement exemptées du GDPR ; cependant, le règlement les libère des obligations de tenue de registres dans la plupart des cas.
En-tête Groupe TJC Étude de cas Groupe Carlsberg Archivage des données SAP et conformité GDPR

Ne pas se conformer aux exigences du règlement général sur la protection des données peut s’avérer coûteux – et vous faire perdre beaucoup d’argent. Conformément à l’article 83, les amendes imposées par l’UE en cas de non-respect du GDPR sont flexibles et évoluent en fonction de l’entreprise, mais quelle que soit sa taille, la responsabilité est considérablement élevée.

Les infractions les moins graves peuvent entraîner une amende pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’entreprise pour l’exercice précédent, selon le montant le plus élevé. Les amendes comprennent toutes les violations des articles régissant –

Responsables du traitement et sous-traitants: En vertu des articles 8, 11, 25 à 39, 42 et 43, les organisations qui collectent et contrôlent les données, c’est-à-dire les responsables du traitement, et celles qui traitent les données, c’est-à-dire les sous-traitants, doivent impérativement adhérer aux règles régissant la protection des données. En outre, les règles relatives au traitement licite des données doivent également être strictement respectées. Le non-respect de ces règles entraînera de lourdes sanctions. En tant qu’organisations, les articles 8, 11, 25 à 39, 42 et 43 susmentionnés doivent être lus pour garantir le respect des exigences de conformité du GDPR.

Organismes de certification: Les organismes accrédités chargés de fournir aux organisations les certifications nécessaires doivent veiller à ce que leurs évaluations soient effectuées de manière équitable et transparente, sans aucun parti pris. Lisez les articles 42 et 43 pour plus d’informations à ce sujet.

Organismes de contrôle: Conformément à l’article 41, les organismes de contrôle dotés du niveau d’expertise approprié doivent faire preuve d’indépendance tout en suivant les procédures établies lorsqu’ils traitent des plaintes ou des infractions signalées, et ce de manière impartiale et transparente.

En vertu du GDPR, les infractions les plus graves vont à l’encontre des principes du droit à la vie privée et du droit à l’oubli ; les violations de ces principes peuvent entraîner des pénalités allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’organisation pour l’exercice financier précédent, le montant le plus élevé étant retenu. Il s’agit notamment de toute violation des articles régissant –

Responsables du traitement et sous-traitants: En vertu des articles 8, 11, 25 à 39, 42 et 43, les organisations qui collectent et contrôlent les données, c’est-à-dire les responsables du traitement, et celles qui traitent les données, c’est-à-dire les sous-traitants, doivent impérativement adhérer aux règles régissant la protection des données. En outre, les règles relatives au traitement licite des données doivent également être strictement respectées. Le non-respect de ces règles entraînera de lourdes sanctions. En tant qu’organisations, les articles 8, 11, 25 à 39, 42 et 43 susmentionnés doivent être lus pour garantir le respect des exigences de conformité du GDPR.

Organismes de certification: Les organismes accrédités chargés de fournir aux organisations les certifications nécessaires doivent veiller à ce que leurs évaluations soient effectuées de manière équitable et transparente, sans aucun parti pris. Lisez les articles 42 et 43 pour plus d’informations à ce sujet.

Organismes de contrôle: Conformément à l’article 41, les organismes de contrôle dotés du niveau d’expertise approprié doivent faire preuve d’indépendance tout en suivant les procédures établies lorsqu’ils traitent des plaintes ou des infractions signalées, et ce de manière impartiale et transparente.

2. En vertu du GDPR, les infractions les plus graves vont à l’encontre des principes du droit à la vie privée et du droit à l’oubli ; les violations de ces principes peuvent entraîner des pénalités allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’organisation pour l’exercice financier précédent, le montant le plus élevé étant retenu. Il s’agit notamment de toute violation des articles régissant –

Les principes fondamentaux du traitement: En vertu des articles 5, 6 et 9, les organisations doivent traiter les données de manière licite, loyale et transparente. Les données doivent être collectées et traitées à des fins légitimes et doivent être exactes et mises à jour. Cela dit, le traitement des données doit être effectué de manière à garantir leur sécurité. Les organisations ne sont autorisées à traiter des données que si elles satisfont à l’une des six exigences légales énumérées à l’article 6. En outre, il est strictement interdit de saisir certains types de données à caractère personnel, comme l’origine raciale, l’orientation sexuelle, les convictions politiques et religieuses, l’appartenance à un syndicat et les données sanitaires ou biométriques, sauf dans des circonstances particulières. Lisez les articles 6, 6 et 9 susmentionnés pour plus d’informations sur cet aspect.

Les conditions du consentement: Lorsque le traitement des données par une organisation est justifié par le consentement de l’utilisateur, il est obligatoire de le documenter, au cas où l’organisation aurait besoin de le prouver en toutes circonstances. Pour cela, les détails sont fournis à l’article 7.

Les droits des personnes concernées: En vertu des articles 12 à 22, les personnes ont le droit de connaître les données que l’organisation collecte et, en outre, l’utilisation qui en est faite. En outre, les personnes ont également le droit d’obtenir une copie des données collectées, de corriger les données en cas d’inexactitude, ainsi que d’effacer les données dans certaines circonstances. En outre, en vertu de ce droit, les personnes ont également le droit de transférer leurs données à d’autres organisations.

Transfert de données à caractère personnel: Il s’agit spécifiquement du transfert de données à caractère personnel à une organisation internationale ou à un destinataire situé dans un pays tiers. Les articles 44 à 49 stipulent qu’avant qu’une organisation ne transfère des données à caractère personnel à un pays tiers ou à une organisation internationale, l’UE doit décider que le pays ou l’organisation prend des mesures de protection adéquates tout en garantissant un transfert sécurisé des données.

Outre les deux niveaux de sanctions du GDPR, les autres amendes imposées sont les suivantes –

Violation des lois des États membres : Toute violation des lois des États membres adoptées en vertu du chapitre IX entraînera des sanctions. Le chapitre IX donne aux États membres de l’UE le droit d’adopter des lois supplémentaires sur la confidentialité et la protection des données, mais celles-ci doivent être conformes au GDPR. En cas de violation des lois nationales, des sanctions sont prévues.

Non-respect d’une injonction d’une autorité de contrôle: Si une organisation ne se conforme pas à une injonction d’une autorité de contrôle ou d’un organe de surveillance du GDPR, quelle que soit l’infraction initiale, une sanction très lourde s’ensuivra.

Il ne s’agit que d’amendes administratives. En fait, l’article 82 donne aux personnes concernées (utilisateurs) le droit de demander réparation aux organisations qui leur ont causé des dommages matériels ou immatériels à la suite de violations du GDPR.

En vertu du règlement général sur la protection des données, les sanctions sont administrées par le régulateur de la protection des données dans chacun des pays de l’UE. L’autorité détermine si une loi a été violée et la sévérité de la sanction. Voici les critères qui déterminent l’infraction et le montant de l’amende.

La nature et la gravité de la violation: Il s’agit de la raison générale de la violation, à savoir ce qui s’est passé, pourquoi cela s’est passé, combien de personnes ont été affectées, quels ont été les dommages et le moment où la violation a été résolue.

L’intention de la violation: Dans cette phase, le régulateur de la protection des données vérifie si la violation était intentionnelle ou si elle résultait d’une négligence.

Atténuation : Il s’agit ici de vérifier si l’organisation a pris des mesures pour atténuer les dommages subis par les personnes concernées du fait de la violation.

Mesures de précaution: Le niveau de préparation technique et organisationnelle mis en œuvre par l’organisation pour se conformer au GDPR.

L’historique de l’entreprise: Toutes les violations pertinentes commises précédemment, y compris celles relevant de la directive sur la protection des données (et pas seulement du GDPR) et le respect des mesures correctives administratives prises par le passé dans le cadre du GDPR.

Coopération : Il s’agit de vérifier la coopération de l’organisation avec les autorités de contrôle pour découvrir et rectifier les infractions.

Catégorie de données: Ici, le type de données personnelles concernées par les violations est vérifié.

Notification : L’organisation ou le tiers désigné a signalé les violations au régulateur ou à l’autorité de contrôle de la protection des données de manière proactive.

Certification : Si l’organisation a suivi le code de conduite approuvé et approprié et si elle est certifiée.

Les facteurs aggravants: Enfin, toute question découlant des circonstances de l’affaire, y compris les avantages financiers obtenus et les pertes évitées à la suite de l’infraction.

Une fois que les régulateurs de la protection des données auront déterminé ces points et si l’organisation a commis plusieurs violations du GDPR, elle sera sanctionnée pour la plus grave d’entre elles, à condition que toutes les violations fassent partie des mêmes opérations de traitement. Dans le cas contraire, l’organisation s’expose à de lourdes pénalités.

Pour en venir aux dernières bases de la loi sur le règlement général sur la protection des données, celle-ci définit longuement plusieurs termes juridiques ; cependant, les plus importants sont énumérés ci-dessous –

Les données à caractère personnel: Les données à caractère personnel désignent essentiellement toute information relative à une personne physique qui peut être identifiée directement ou indirectement. Les données personnelles les plus évidentes sont les noms et les adresses électroniques ; d’autres comprennent la localisation, l’appartenance ethnique, le sexe, les croyances religieuses et politiques, les cookies et les données biométriques. En fait, les données pseudonymes relèvent également de la définition des données à caractère personnel, s’il est un tant soit peu facile d’identifier une personne.

Traitement des données: Qu’elle soit automatisée ou manuelle, toute action effectuée sur des données relève de la définition du traitement des données. Les actions comprennent la collecte, l’enregistrement, la structuration, le stockage, l’utilisation, l’organisation ou l’effacement des données.

Personne concernée: La personne concernée est celle dont les données sont traitées ; les clients, les visiteurs du site, les utilisateurs, etc. sont des personnes concernées.

Contrôleur de données: L’autorité qui décide pourquoi et comment les données personnelles d’une personne doivent être traitées. Par exemple, dans votre organisation, si vous êtes responsable du traitement des données, vous êtes le responsable du traitement.

Responsable du traitement des données : Le sous-traitant est un tiers qui traite des données à caractère personnel pour le compte d’un responsable du traitement. Le GDPR prévoit des règles spéciales pour les personnes et les organisations qui traitent des données. Le fait est que les processeurs de données peuvent inclure des serveurs en nuage, des fournisseurs de services de messagerie électronique, etc.

Les données personnelles sont omniprésentes, qu’il s’agisse des dossiers des ressources humaines, des dossiers bancaires, etc. En outre, elles sont dispersées dans plusieurs modules de SAP, par exemple dans plusieurs tables, documents, CRM, etc. Ces données peuvent également se trouver dans des documents tels que des fiches de paie, des courriers électroniques, des factures, etc. Par conséquent, dans l’état actuel des choses, l’application et la garantie de la conformité au GDPR dans les systèmes SAP peuvent s’avérer difficiles à mettre en œuvre. Cependant, si nous parlons de manière générale, les étapes suivantes peuvent être suivies –

  • La première étape consiste à identifier le type de données personnelles stockées et l’endroit où elles sont stockées.
  • La deuxième étape consiste à définir des règles pour la conservation, le verrouillage et la suppression des données après des périodes définies. La période de conservation est déterminée par la finalité pour laquelle les données à caractère personnel ont été collectées. Par exemple, la gestion des factures, la gestion des demandes, la gestion des commandes, etc.
  • Ensuite, les données personnelles doivent être archivées, supprimées ou anonymisées.

Surtout, gardez à l’esprit qu’il n’existe pas de solution unique pour traiter les demandes liées au GDPR dans SAP ; il s’agit plutôt d’une combinaison d’outils. La principale solution fournie par SAP pour le GDPR est SAP Information Lifecycle Management ou SAP ILM qui aide les utilisateurs SAP à définir des politiques de conservation des données et de destruction à la fin des périodes de conservation. Cela dit, d’autres outils fournis par des partenaires SAP, comme l’Archiving Sessions Cockpit (ASC) de TJC Group, permettent également d’automatiser ce processus.

Avec des règlements comme le GDPR, quelques obligations de traitement des données personnelles sont imposées aux organisations. Pour les entreprises, en particulier celles qui opèrent ou offrent des services dans l’UE, le meilleur moyen de garantir la conformité au GDPR ou à la législation est de définir des règles de conservation des données à l’aide d’une solution fournie gratuitement par SAP lorsqu’elle est utilisée pour se conformer aux lois sur la confidentialité des données. SAP ILM va au-delà de l’archivage standard des données tout en essayant d’atteindre un bon équilibre entre le coût total de possession (TCO), le risque et la conformité légale. Il s’accompagne d’un ensemble de politiques, de processus, de pratiques et d’outils nécessaires pour aligner la valeur commerciale de l’information sur l’infrastructure la plus appropriée et la plus rentable.

L’application de SAP ILM dans vos opérations pour assurer la conformité au GDPR peut être une affaire délicate. Cependant, vous pouvez dire adieu à ces défis avec le groupe TJC. Nous sommes des experts en gestion de données et grâce à notre processus SAP ILM éprouvé, les organisations peuvent se détendre. Nous pouvons montrer aux régulateurs la preuve d’une portée de projet claire et d’une méthodologie éprouvée, le tout entièrement automatisé.

Consultez l’étude de cas du groupe Dürr, l’un des principaux fabricants mondiaux de machines et d’installations, qui nous a demandé d’élaborer un plan de suppression des informations personnelles au niveau du projet.

Header web TJC Group étude de cas Durr Group suppression de données et SAP ILM

Contactez-nous pour apprendre et mettre en œuvre SAP ILM et assurer la conformité avec la loi GDPR dans l’UE !

Réponse: Le GDPR est une loi européenne à la base ; cependant, il est applicable à toute entreprise qui met son site web ou ses services à la disposition des citoyens de l’UE, y compris les organisations aux États-Unis. En principe, toute organisation qui offre ses services et ses biens aux citoyens de l’UE et de ses États membres doit se conformer au GDPR, quel que soit son pays d’origine.

Réponse : Afin de garantir aux individus un meilleur contrôle de leurs données personnelles, le GDPR impose aux organisations d’obtenir le consentement de l’individu avant de collecter ou de traiter ses données personnelles. Toutefois, ce scénario n’est plausible que dans certaines circonstances, pas toujours.

Réponse : Le fait est que le GDPR s’applique principalement aux données personnelles. Ainsi, en identifiant les données qui relèvent des données à caractère personnel, soumises au GDPR, les organisations pourront se concentrer sur la confidentialité et la protection de leurs données sans effort. En vertu du GDPR de l’UE, les données personnelles les plus courantes sont les noms et les adresses électroniques. En outre, la localisation, l’origine ethnique, le sexe, les convictions religieuses et politiques, les cookies et les données biométriques sont également des données à caractère personnel. En outre, les données pseudonymes relèvent également de la définition des données à caractère personnel s’il est un tant soit peu facile d’identifier une personne.