GDPR pour les nuls: une perspective RH

Cookies (pas le type comestible), déclarations de confidentialité, politiques de confidentialité, opt-in, opt-out … les chances sont que si vous lisez ceci en ligne, vous avez déjà dû choisir quelque chose aujourd'hui. Ensuite, il y a les nombreux e-mails non lus de no-reply@abc.com qui bloquent votre boîte de réception. Le coupable? GDPR

Alors, de quoi s'agit-il – et pourquoi, en tant que professionnel des RH, cela devrait vous intéresser?

Qu'est-ce que c'est?

Le Règlement général sur la protection des données 2016/679) est entré en vigueur le 25 mai 2018 et a été décrit comme un moment historique dans la protection des données. Plus de trois ans dans la fabrication, la législation régit la gestion des données personnelles, en créant des règles de protection des données cohérentes à travers les 28 États membres de l'Union européenne (UE). Le règlement a remplacé la directive 95/46 / CE, qui a été la base de la loi européenne sur la protection des données depuis son introduction en 1995. Le GDPR définit explicitement ce qu'il entend par le terme "données personnelles": Toute donnée identifiant ou pouvant être utilisé pour identifier un individu. Il met également à jour la définition des données personnelles pour inclure les avancées technologiques telles que l'adresse IP, l'emplacement et les données biométriques, par exemple.

Qu'est-ce qui l'a conduit?

Comme noté par EY, la disparition de Safe Harbor en 2015 et une augmentation du nombre de violations de données médiatiques dans les médias ont suscité des inquiétudes parmi les régulateurs et les consommateurs quant à la façon dont les données personnelles étaient gérées, et qui étaient des moteurs de la réglementation.

si révolutionnaire?

Le règlement introduit de nouveaux droits pour les individus de contrôler et de protéger leurs données personnelles, y compris:

Le droit d'être oublié – le droit de demander aux contrôleurs de données d'effacer toutes les données personnelles sans

Le droit à la portabilité – lorsque des particuliers ont fourni des données personnelles à un fournisseur de services, ils peuvent exiger que le fournisseur «transfère» les données à un autre fournisseur, à condition que cela soit techniquement

Le droit de s'opposer au profilage – le droit de ne pas être soumis à une décision fondée uniquement sur le traitement automatisé.

Il introduit également une notification de violation obligatoire, qui oblige les organisations à notifier l'autorité des violations de données sans retard injustifié ou dans un délai de 72 heures, sauf si la violation est peu susceptible de présenter un risque pour les individus. S'il y a un risque, ces personnes doivent être informées. Peut-être plus important encore, il y a le coût de la non-conformité, qui peut être extraordinairement élevé – avec des amendes allant jusqu'à 4% du revenu mondial d'une entreprise, ou 20 000 000 €, selon le montant le plus élevé

.

Alors qu'il s'agit d'une législation européenne et s'applique directement aux entreprises opérant à partir d'un établissement dans les États membres de l'UE il s'applique également à tout lieu de traitement. Par conséquent, il a un impact sur toute entreprise qui est un processeur de données ou un contrôleur de données personnelles basées dans l'UE, ainsi que les entreprises mondiales qui traitent des données personnelles sur des individus dans l'UE.

Qui l'applique?

Autorités de surveillance (AS): Chaque État membre de l'UE nommera une AS qui travaillera avec les autres SA des États membres; le comité européen de la protection des données coordonnera les AS. Ils peuvent effectuer des vérifications, réviser les certifications, émettre des avertissements, ordonner à un processeur ou à un contrôleur de se conformer au RGPD, imposer des limites et même interdire le traitement et imposer des amendes administratives.

Maintenant que vous avez le bas, la première étape est savoir si GDPR est applicable à votre organisation. Si c'est le cas, votre conseiller juridique vous en a sans doute déjà fait prendre conscience. Comme suggéré dans un précédent blog GDPR les différentes activités impliquées pour permettre le respect du GDPR et gérer la confidentialité et la protection des données doivent être rassemblées dans un ensemble cohérent et intégré autour des «quatre piliers» (gouvernance de la vie privée, gestion des données, sécurité des données et gestion des consentements), avec des solutions qui offrent les capacités nécessaires pour soutenir chacune d'entre elles et établir une gouvernance solide avec la meilleure technologie possible.

En résumé, GDPR concerne la protection des données personnelles. Parce que les ressources humaines sont des données personnelles, votre solution de stockage de données personnelles doit être en mesure de prendre en charge la conformité GDPR comme première ligne de défense. EY suggère également que «Privacy by Design» est une considération clé pour la préparation au GDPR, c'est-à-dire la conception de la protection des données dans le développement des processus métier et des nouveaux systèmes. La confidentialité par conception et par défaut est également critique pour la conformité GDPR continue.

Pour plus d'informations sur la sécurité des données, voir Établir la confiance dans l'ère numérique

<! – Commentaires ->