Dans à peine 15 mois, les autorités nationales de contrôle (la CNIL dans le cas de la France) seront en mesure de sanctionner à hauteur maximale de 4% de leur chiffre d’affaires mondial, les entreprises et les organisations n’étant pas en conformité avec les multiples exigences imposées ou renforcées par le règlement.
Si le texte a pour principale mission de renforcer les droits et la protection des résidents européens vis-à-vis de leurs données personnelles, il vise également à favoriser l’émergence d’un climat de confiance entre les individus et les entreprises dans un domaine où la prudence et le scepticisme restent, aujourd’hui et à juste titre, de mise. Le postulat que nous défendons et qui a été développé dans un précédent billet, c’est que l’avènement du GDPR offre aux entreprises une opportunité de repenser en profondeur la gestion des données de leurs clients, partenaires ou collaborateurs, pour jouer la carte de la transparence, préalable indispensable à l’établissement d’une relation de confiance. Le problème, c’est que bon nombre d’entreprises n’ont aujourd’hui qu’une très vague idée des exigences auxquelles elles vont devoir se conformer. Parmi la liste conséquente des exigences inscrites dans les 200 pages du GDPR, en voici cinq qui induiront des changements majeurs en matière de gouvernance, de refonte des processus ou d’outillage technique, et que les entreprises ont tout intérêt à anticiper dès à présent :
- « Privacy by design » & « Privacy by default »
- La gestion des consentements
- Le droit à l’oubli
- Le droit à la portabilité des données
- La nomination d’un délégué à la protection des données (DPO)