La GDPR (General Data Protection Regulation) ou RGPD (en francais), est le Règlement Général sur la Protection des Données. Comme tout règlement, il est mis en vigueur dans l’ensemble de l’Union Européenne (UE). C’est-à-dire que toutes les personnes physiques, morales et autres entités résidant sur le sol de l’Union Européenne sont concernées.

Le but du règlement

Le but de la GDPR est de renforcer et d’harmoniser la protection des données personnelles de résidents de l’Union Européenne, tout en facilitant la libre circulation de ces données.

Les personnes concernées par ce règlement

Toutes personnes ou entités traitant des données à caractère personnel de résidents de l’Union Européenne.

Définition d’une « donnée à caractère personnelle »

D’après l’article 4 du règlement cela concerne :

« toute information se rapportant à une personne physique identifiée ou indentifiable, […] qui peut être identifiée directement ou indirectement, notamment par référence à un numéro d’identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Cela concerne donc la moindre donnée se rapportant à une personne physique comme un numéro de sécurité sociale ou de permis de conduire ou encore le code ADN d’un individu permettant de l’identifier.

Les données sensibles sont celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci.

Entreprises concernées

• Toutes entreprises sur le territoire de l’Union Européenne, traitant, stockant ou collectant des données personnelles que ce soit pour ses propres bénéfices ou /et pour celui de personnes ou de sociétés tierces.
• Les entreprises résidant à l’extérieur de l’UE mais traitant des données relatives aux activités des entreprises de l’UE sont également concernées.
• Les entreprises non-européennes seront soumises au règlement si elles ciblent des résidents de l’Union Européenne par le profilage ou si elles proposent des biens et des services à des résidents de l’UE.

Quelques exemples sur ce que le texte de la GDPR vous impose 

• Mettre en place toutes les mesures nécessaires à la protection des données personnelles. Ces mesures de sécurité, qu’elles soient techniques, opérationnelles ou encore administratives, doivent être en adéquation avec le risque que votre entreprise encoure, c’est-à-dire le risque de pertes ou de fuites de données personnelles. Les données personnelles doivent être anonymes et chiffrées.
• Tester régulièrement vos procédures de traitement des données.
• Notifier une brèche de sécurité sous les 72 heures suivant cette fuite. Une brèche peut être une intrusion dans le système des données, une cyber attaque, un acte de malveillance... 
• Toutes les entreprises dont l’activité principale exige « un suivi régulier et systématique à grande échelle de personne» ou traitent à grande échelle des données sensibles ,auront l’obligation de nommer un délégué à la protection des données, devant être associé à toutes les questions en matière de protection des données.