General Data Protection Regulation (GDPR)

Comprendre les notions de base du RGPD

Le Règlement général sur la protection des données (RGPD) est un nouveau cadre juridique qui remplace la Directive sur la protection des données de l’UE, en vigueur le 25 mai 2018. L’objectif du RGPD est de protéger davantage les droits de confidentialité des individus de l’UE en gouvernant la façon dont les organisations gèrent et protègent les données personnelles relatives aux personnes de l’UE, sans égard à l’endroit où lesdites données ont été recueillies, transférées, stockées ou traitées.

Le RGPD comprend de nombreux changements par rapport à la loi existante; ceux-ci affectent la façon dont les données personnelles en UE doivent être gérées et pourraient avoir un impact sur chaque département à travers plusieurs entreprises dans le monde. Cela affectera chaque organisation traitant des données personnelles de l’UE, pour elle-même ou pour une autre, ainsi que les fournisseurs et autres tiers qui pourraient traiter des données personnelles de l’UE pour les organisations.

Que fournit le RGPD?

Le RGPD donne aux individus certains droits et contrôles sur leurs données personnelles. Le RGPD exige également de la transparence par rapport à l’utilisation des données personnelles d’une organisation et établit des contrôles, notamment de sécurité, pour la façon dont les données personnelles sont protégées.

Qui est touché par le RGDP?

Les exigences du RGPD peuvent s’appliquer à n’importe quelle organisation traitant des données personnelles de l’UE. Ces exigences peuvent aussi s’appliquer aux tiers et autres fournisseurs qu’une organisation peut utiliser pour le traitement des données personnelles.

Est-ce que le RGPD aura un impact sur les organisations à l’extérieur de l’UE?

L’impact du RGPD s’étend au-delà des frontières de l’UE. Cela affectera potentiellement toute organisation, sans égard à son emplacement si elle recueille, reçoit, traite ou stocke des données personnelles de l’UE. Ce règlement peut avoir des implications pour toute organisation qui se trouve à l’extérieur de l’UE et qui recueille ou reçoit des données personnelles de l’UE.

Quels sont les principes clés du RGPD?

L’intention du RGPD est de renforcer les droits individuels existants, introduire de nouveaux droits et donner aux personnes de l’UE plus de contrôle sur leurs données personnelles. Les principes de bases du RGPD sont :

• Exigez la transparence quant à la manutention et à l’utilisation des données personnelles
• Limitez le traitement des données personnelles à vos fins précisées et légitimes
• Limitez la collecte de données personnelles et leur stockage seulement à leurs fins prévues
• Permettre aux individus de demander, dans certaines circonstances, l’accès, la correction, la suppression (le droit à l’oubli), le transfert de leurs données personnelles à un tiers, la restriction ou l’objection au traitement de leurs données personnelles.
• Garantir la protection des données personnelles à l’aide de mesures de sécurité appropriées
• Limitez le stockage des données personnelles pour seulement la période durant laquelle elles sont nécessaires et à leur fin prévue

Que signifient les principes du RGPD pour mon entreprise?

Les individus de l’UE peuvent avoir le droit de savoir, parmi d’autres droits, si et comment leurs données personnelles sont traitées, utilisées, partagées et stockées. Les individus peuvent aussi avoir divers droits individuels, comme obtenir l’accès à leurs données personnelles. Lors de la réponse à de telles demandes, les informations doivent être fournies à l’individu d’une façon claire et compréhensible.

Les individus peuvent aussi avoir le droit de faire corriger ou supprimer leurs données personnelles. Si une personne ne veut plus que ses données soient traitées et qu’une organisation n’a pas d’autre base juridique pour les conserver, les données doivent les supprimer.

Le RGPD fournit aussi aux individus de l’UE le droit de savoir lorsqu’il y a eu fuite de données personnelles.

Le RGPD exige que les organisations informent les individus des fuites de données à risque élevé, en plus de les prévenir les autorités pertinentes de protection des données.

Définitions du RGPD

Le RGPD utilise plusieurs termes qui ne sont pas forcément familiers ou clairs. Nous avons aussi essayé de les simplifier.

Données personnelles : Les données personnelles sont au cœur du RGPD et la définition des données personnelles est vaste. Des exemples de données personnelles incluent le nom, l’adresse courriel, le numéro de téléphone, l’adresse physique, les identifiants de l’appareil comme les adresses IP, les informations de localisation, les informations de santé, les informations financières, l’âge, la date de naissance, etc. Malgré le fait qu’une donnée, comme le nom ou l’adresse courriel d’un individu, puisse être disponible par le biais de recherches publiques ou autres dossiers publics, elle pourrait être considérée comme une donnée personnelle qui doit être protégée conformément au RGPD. Une organisation qui a des doutes quant aux données associées à une personne ou à l’appareil d’une personne, ou qui n’est pas une donnée personnelle présume couramment qu’elle l’est.

Responsable du traitement des données : Un responsable du traitement des données est une organisation qui détermine comment et pourquoi les données personnelles sont recueillies, utilisées, traitées, divulguées et maintenues. Par exemple, lorsqu’une entreprise recueille des données personnelles directement auprès d’un individu, ou qu’elle reçoit des données personnelles d’un tiers qui les a recueillies au nom de l’entreprise, l’entreprise est le responsable du traitement des données.

Traitement : Le traitement est une action effectuée sur les données personnelles, que ce soit de manière automatisée ou non. Ceci comprend la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, la dissémination ou la mise à disponibilité, l’alignement ou la combinaison, la restriction, la suppression ou la destruction des données personnelles. Presque tout ce qui est fait avec les données personnelles peut être considéré comme un « traitement ».

Sous-traitant : Un sous-traitant est une organisation qui traite (c’est-à-dire qui recueille, stocke, utilise ou divulgue) des données personnelles uniquement au nom d’un responsable du traitement des données et conformément aux instructions d’un responsable du traitement des données.

À quoi dois-je penser par rapport au RGPD?

Vos systèmes et logiciels sont importants : ils doivent être pris compte lorsque vous voulez répondre aux exigences du RGPD. Ils doivent faire partie de l’adoption d’une approche robuste, adoptée à l’échelle de l’entreprise, par rapport à la conformité au RGPD. La majorité de ce qui est requis pour répondre aux exigences du RGPD est liée aux processus, et les organisations devaient envisager ce qui suit :

• Identifier les données personnelles que vous détenez et l’endroit où elles se trouvent
• Mettre en œuvre une gouvernance robuste sur la façon dont les données personnelles sont consultées et utilisées
• Établir des contrôles de sécurité appropriés pour prévenir, détecter et répondre aux fuites et vulnérabilités des données
• Répondez aux demandes provenant d’individus réclamant leurs droits en matière de protection des données (par exemple, des demandes de fournir une copie des données personnelles d’un individu)
• Maintenez votre documentation de conformité, y compris les dossiers des activités de traitement et les réponses aux demandes provenant d’individus
• Signalez toute fuite de données de façon opportune, tel que requis par la loi

Que pourra fournir Epicor pour aider mon organisation à se conformer aux exigences du RGPD?

Epicor s’engage envers la sécurité et la protection des données, tant pour l’entreprise que pour ses clients autour du monde. De façon semblable à d’autres exigences juridiques et réglementaires existantes, Epicor prend son rôle de responsable du traitement de données et de sous-traitant au sérieux.

La conformité au RGPD relève de la responsabilité de tous entre Epicor et nos clients. Les produits et services d’Epicor peuvent contribuer à votre conformité avec le RGPD lorsqu’ils traitent les données personnelles. Par exemple, nos produits et services fournissent de la fonctionnalité afin d’aider à répondre aux demandes relatives aux droits individuels. Les produits et services, y compris les solutions hébergées par Epicor, ont des mesures de sécurité et des contrôles d’accès. Les organisations peuvent incorporer la fonctionnalité et les procédures dans les produits et services d’Epicor afin de les aider à répondre à leurs obligations de conformité au RGPD.

Epicor s’engage à aider ses clients à se conformer aux diverses exigences applicables à leur entreprise, y compris le RGPD. Ainsi, Epicor continue à surveiller les lois changeantes et les meilleures pratiques afin d’aider à améliorer nos produits, nos contrats et notre documentation pour soutenir la conformité de nos clients avec les obligations juridiques, y compris le RGPD.