Le règlement général de protection des données (GDPR) remplacera les lois locales de protection des données dans tous les pays de l'UE le 25 mai 2018. Le GDPR aura une incidence majeure sur la façon dont les organisations recueillent et traitent les données personnelles. Toutes les organisations grandes ou petites qui traitent de l'information concernant les individus devront s’adapter rapidement. Les organisations en violation du GDPR pourront être condamnées à une amende allant jusqu'à 4% de leur chiffre d'affaires mondial annuel ou 20 millions d'euros (le montant le plus élevé étant retenu). Les organisations ont beaucoup de tâches à effectuer pour se mettre en conformité d'ici le 25 mai 2018.

1. Le GDPR :
Pourquoi devrions-
nous nous en
soucier ?

2. ITaaSC – IT-as-a-Service Consulting – www.itaasc.com 2 | P a g e
Le GDPR : Pourquoi devrions-nous nous en
soucier ?
1. Qu'est-ce que le GDPR?
Depuis le milieu des années 90, la législation européenne qui protège la confidentialité des données
personnelles a été principalement basée sur la directive européenne 95/46 / CE: la directive sur la
protection des données.
L'objectif du GDPR (The General Data Protection Regulation) est de protéger tous les citoyens de l'UE
contre les atteintes à la vie privée dans un monde de plus en plus fondé sur les données (internet, réseaux
sociaux, e-commerce , IoT, big data, cloud …), très différent du moment où la directive de 1995 a été
établie.
Le règlement général de protection des données remplacera les lois locales de protection des données dans
tous les pays de l'UE le 25 mai 2018.
Le GDPR aura une incidence majeure sur la façon dont les
organisations recueillent et traitent les données personnelles.
2. Pourquoi devrions-nous nous en soucier ?
Toutes les organisations grandes ou petites qui traitent de
l'information concernant les individus devront s’adapter
rapidement. Les organisations en violation du GDPR pourront être
condamnées à une amende allant jusqu'à 4% de leur chiffre
d'affaires mondial annuel ou 20 millions d'euros (le montant le
plus élevé étant retenu).
Les organisations ont beaucoup de tâches à effectuer pour se
mettre en conformité d'ici le 25 mai 2018.
3. Modifications importantes des règles de
confidentialité
Les objectifs du GDPR peuvent être divisés en six tâches et obligations clés pour toute organisation qui
touche aux données des personnes concernées de l'UE:
a) Droits des personnes:
Le GDPR améliore les droits des personnes concernées dans l'UE.
Par exemple, il a codifié et clarifié la capacité des personnes concernées à demander l'accès à leurs
informations et à les effacer. En outre, les organisations doivent faciliter l'accès aux données
personnelles, avec des informations claires et facilement compréhensibles sur le traitement. La mise à
disposition de ces informations permettra aux personnes concernées de comprendre comment leurs
données sont utilisées.
On entend par données
personnelles, les données qui
directement ou indirectement
identifient ou rendent possible
l’identification d’une personne
concernée qu'elle se rapporte à sa
vie privée, professionnelle ou
publique, telles que les noms,
numéros d'identification, photos,
données de localisation et
identificateurs en ligne, que ces
données appartiennent ou non à des
clients, à des employés ou à d'autres
personnes physiques.

3. ITaaSC – IT-as-a-Service Consulting – www.itaasc.com 3 | P a g e
b) Sécurité des données personnelles :
Les organisations seront désormais obligées de signaler les violations des données aux autorités
réglementaires dans un délai de 72 heures et, dans les scénarios à haut risque, de suivre cette
notification en notifiant les personnes dont les données peuvent avoir été compromises.
Les organisations ont l'obligation de prendre des mesures de sécurité : même si vous n'avez pas une
violation des données, vous pouvez toujours être en violation de la réglementation si vous ne prenez
pas de mesures proactives.
Les organisations devront mettre en œuvre des mesures techniques et organisationnelles (formation
du personnel, audits internes des activités de traitement, examen des politiques RH, politiques internes
de protection des données,… ) afin d’assurer un niveau de sécurité approprié au risque, y compris
notamment le cas échéant:
• L’anonymisation ou pseudo-anonymisation et le cryptage des données à caractère personnel
• La capacité d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience continue des
systèmes et des services de traitement
• La possibilité de rétablir en temps opportun la disponibilité et l'accès aux données personnelles
en cas d'incident physique ou technique
• Un processus permettant de tester et d'évaluer régulièrement l'efficacité des mesures
techniques et organisationnelles visant à assurer la sécurité du traitement
c) Légalité et consentement :
Le traitement des données à caractère personnel ne sera licite que si l'un des six facteurs énumérés
dans le GDPR est en jeu (par exemple, s'il est nécessaire pour l'exécution d'un contrat ou s'il est requis
pour une autre raison réglementaire ou détention légale).
Le consentement est également un de ces facteurs, mais dans le cadre du GDPR, le consentement sera
encore plus difficile à démontrer.
Le consentement doit être explicite pour les données sensibles. Le contrôleur des données doit être en
mesure de démontrer que le consentement a été donné.
Les conditions d'obtention du consentement ont été renforcées et les entreprises ne pourront plus
utiliser des termes et conditions illisibles et illimités.
d) Obligation de rendre compte :
Les organisations devraient s'attendre à ce que les régulateurs puissent exercer leurs pouvoirs d'accès
aux données et aux locaux et, plus généralement, être en mesure de démontrer la conformité aux
principes GDPR relatifs aux données à caractère personnel. Des mécanismes permettant de fournir
cette preuve - y compris la réalisation d'études d'impact sur la protection des données, le respect des
codes de conduite et la recherche proactive de la certification par des mécanismes approuvés - seront
disponibles, mais n'ont pas encore été entièrement définis.
e) Confidentialité et sécurité « à dessein » (Privacy and security by design):
Il sera obligatoire lors de la conception d'un nouveau système, processus, service, etc. qui traite des
données personnelles de s'assurer que les considérations de protection des données sont prises en
compte dès les premiers stades du processus de conception. En outre, les organisations doivent être en
mesure de prouver qu'elles l'ont fait. Deuxièmement, lorsque le système, le processus, le service, etc. à
concevoir comprend des choix pour l'individu sur le nombre de données personnelles qu'il partage avec
les autres, le réglage par défaut doit être le plus respectueux de la vie privée.
f) Portée territoriale accrue (applicabilité extraterritoriale)

4. ITaaSC – IT-as-a-Service Consulting – www.itaasc.com 4 | P a g e
Le nouveau principe de l'extraterritorialité dans le GDPR affirme que même si une entreprise n'a pas de
présence physique dans l'UE, mais recueille des données sur les personnes concernées de l'UE - par
exemple par le biais d'un site Web - toutes les exigences du GDPR sont en vigueur. En d'autres termes,
la nouvelle loi s'étendra hors de l'UE. Cela affectera en particulier les entreprises de commerce
électronique et d'autres entreprises dans le cloud.
4. Comment se préparer ?
a) Créer un inventaire des données
Le règlement exigera que les données personnelles détenues soient documentées et indiquent d'où
elles proviennent, où elles sont transférées et comment elles sont sécurisées tout au long de leur cycle
de vie.
Commencez par faire un inventaire de tous les flux de données ainsi que les traitements de données
auquel vous vous engagez.
Vérifiez par exemple que la personne concernée à donner son consentement ou que vous pouvez
prouver que vous avez un intérêt légitime à traiter ces données.
Les entreprises supposent souvent qu'elles doivent obtenir le consentement des personnes concernées
pour traiter leurs données. Cependant, le consentement n'est que l'un des nombreux moyens de
légitimer l'activité de transformation. Si vous vous fiez à l'obtention du consentement, vérifiez si vos
documents et contrats sont adéquats et vérifiez que les consentements sont donnés librement et
spécifiés.
Vous supporterez le fardeau de la preuve.
b) Mettre en place une procédure de réponse à la violation de données
Assurez-vous d'avoir les procédures en place pour détecter, signaler et enquêter sur une violation des
données. Mettez en place des politiques claires et des procédures bien pratiquées pour s'assurer que
vous pouvez réagir rapidement et notifier les autorités et dans certains cas les personnes concernées
dans les délais requis.
c) Établir un cadre de responsabilisation
Assurez-vous que vous avez des politiques claires en place pour prouver que vous répondez aux normes
requises. Établissez une culture de suivi, d'examen et d'évaluation de vos procédures de traitement des
données, visant à minimiser le traitement et la conservation des données, et à mettre en place des
garanties.
Vérifiez que votre staff est formé pour comprendre leurs obligations.
d) Embrasser la confidentialité et sécurité « à dessein » (Privacy and security by design)
Assurez-vous que la confidentialité est intégrée dans tout nouveau traitement ou produit qui est
déployé. Cela doit être pensé au début du processus pour permettre une évaluation structurée et une
validation systématique. La mise en œuvre de la confidentialité « à dessein » peut à la fois démontrer la
conformité et créer un avantage concurrentiel.
e) Analyser la base juridique sur laquelle vous utilisez les données personnelles
Vérifiez vos avis et politiques de confidentialité. Le GDPR exige que les informations fournies soient
rédigées dans un langage clair. Vos politiques doivent être transparentes et facilement accessibles.

5. ITaaSC – IT-as-a-Service Consulting – www.itaasc.com 5 | P a g e
f) Tenir compte des droits des personnes concernées
Préparez-vous à ce que les personnes concernées exercent leurs droits en vertu du GDPR, comme le
droit à la transférabilité des données et le droit à l'effacement.
g) Si vous êtes un fournisseur pour d'autres
Dans le passé, seuls les contrôleurs de données étaient considérés comme responsables des activités
de traitement de données, mais le GDPR étend la responsabilité à toutes les organisations qui utilisent
des données personnelles.
Le GDPR couvre également toute organisation qui fournit des services de traitement de données au
contrôleur de données, ce qui signifie que même les organisations qui sont purement des fournisseurs
de services qui travaillent avec des données personnelles devront se limiter à ce qui est nécessaire au
regard des finalités pour lesquelles elles sont traitées (minimisation des données).
Vérifiez si votre documentation contractuelle est adéquate et, pour les contrats existants, vérifiez qui
assume le coût de la modification des services en raison des changements apportés aux lois ou aux
règlements. Si vous obtenez ou fournissez des services de traitement de données auprès d'un tiers, il
est très important de déterminer et de documenter vos responsabilités respectives.
h) Transferts transfrontaliers de données
Pour tous les transferts internationaux de données, y compris les transferts intra-groupes, il est
important de s’assurer que vous avez un fondement légitime pour le transfert de données personnelles
à des juridictions qui ne sont pas reconnues comme ayant une réglementation adéquate de la
protection des données.
5. Coût ou opportunité ?
À première vue, le GDPR est une contrainte réglementaire pour les entreprises.
Mais en investissant de façon pertinente dans votre projet GDPR, vous pouvez créer de la valeur
supplémentaire pour votre entreprise.
Il est important de faire en sorte que vos clients se sentent en sécurité. Le fait que les clients
s'inquiètent de plus en plus de la divulgation de données personnelles crée une nouvelle opportunité
pour les entreprises. Si vous pouvez établir un sentiment de sécurité et de confiance avec vos clients en
leur donnant une garantie que leurs informations sont sécurisées, cela peut vous donner un avantage
concurrentiel.
La réponse se trouve aussi dans les données personnelles elle-même. Vous avez surement entendu la
phrase maintenant surutilisée "les données sont le nouveau pétrole".
Très souvent, les données restent dans les systèmes. Elles sont stockées, mais pas exploitées car dans
des formats bruts, non consolidées et difficilement accessibles.
Ce n'est que lorsque les différents départements d’une entreprise commencent à partager ou ont
facilement accès à des informations consolidées pertinentes qu'ils peuvent innover et commencer à
améliorer les performances, réduire les coûts et faire une meilleure planification fondée sur les faits
plutôt que des hypothèses.

6. ITaaSC – IT-as-a-Service Consulting – www.itaasc.com 6 | P a g e
Un projet GDPR est l’occasion de valoriser les données stockées dans l’entreprise. Lors de
l’inventorisation des données, une analyse peut être conduite afin d’exploiter au mieux les
informations disponibles et d’améliorer sa capacité à prendre des décisions pertinentes dans son
activité.
6. Comment pouvons-nous vous aider à vous préparer ?
Notre équipe pluridisciplinaire composée d’experts en cyber sécurité et data privacy, de change managers,
de juristes et de business managers peut vous aider à comprendre l’impact du GDPR sur votre entreprise, à
préparer un plan de compliance qui comprendra les différents aspects à considérer (légal, humain,
processus, business, technologique) et à générer de la valeur pour votre entreprise.
Exemples de tâches que nous pouvons réaliser :
• Évaluation de l'impact de la protection des données (DPIA) sur votre entreprise
• Inventaire des flux de toutes les données personnelles traitées et classification de la confidentialité
• Évaluation de la maturité de la protection des données et son impact sur les processus, les projets, les
systèmes et le business de l’entreprise
• Mise en place d’un programme de protection des données (Iso27001, NIST, ...) afin de prendre des
mesures appropriées de sécurité de l'information pour assurer la confidentialité, l'intégrité, la
disponibilité et la résilience des systèmes de traitement et des services
• Analyse juridique du respect de la législation sur la protection des données
• Rédaction de documents juridiques : contrats avec le sous-traitants, contrats avec les clients, conditions
générales, règles de confidentialité, …
Pour plus d’information, contactez :
IT-as-a-Service Consulting S.P.R.L
18 avenue Jean XXIII
1330 Rixensart – Belgium
Tel: +32 2 318.12.71
web: www.itaasc.com
email: gdpr@itaasc.com