GPDR : ce qui va changer pour la signature électronique
En 2018, toute entreprise dont l’activité porte entièrement, ou en partie sur la collecte et le stockage des données personnelles, de façon directe ou indirecte, sera soumise au GPDR (General Data Protection Regulation). Ainsi, les entreprises devront pouvoir prouver à tout moment la traçabilité des consentements et des données personnelles. Voici ce qui va changer pour la signature électronique.
L’alignement sur une loi commune européenne
Sommaire
La commission européenne, dans un élan d’harmonisation des réglementations des différents pays en termes de protection des données, entend répondre de manière efficace aux besoins des entreprises. Ainsi, elle inscrit son action dans le prolongement du règlement eIDAS qui a été sollicitée par plus de 90% des entreprises européennes qui souhaitent avoir une politique commune de protection des données à caractère personnel.
Pour cause, chaque pays membre possède des lois différentes sur le traitement et la sécurité des données en audit sureté interne. Par exemple, en Espagne on sait bien que la signature électronique ne pouvait s’effectuer que via un certificat remis en face à face et basé sur un support durable. Dans d’autres pays comme la Belgique, la signature électronique sur certains documents ne peut être obtenue qu’à travers l’utilisation d’un certificat de signature embarqué sur la signature électronique des citoyens.
Renforcer la protection des données individuelles
L’objectif du General Data Protection Regulation, c’est le renforcement de la protection des données individuelles. En effet, le GPDR remplace à la directive datant de 1995 sur la protection des données qui avait déjà défini le cadre juridique de la protection des données. Il prévoyait, entre autres, le droit d’accès et de rectification aux données de même que le principe de consentement. Ce cadre juridique a surtout permis à chaque membre de l’Union européenne une transposition de son droit national.
Pour un pays comme la France, le GPDR va contraindre l’entreprise à définir le niveau le plus élevé de l’utilisation des données personnelles recueillies. Ainsi, à chaque nouvelle souscription, l’entreprise en question devra obtenir le consentement de l’utilisateur.
Une compétence dédiée à la mise en conformité
Pour les entreprises et établissements publics amenés à gérer des données personnelles à grande échelle, le GPDR exige de nommer un DPO (Data Protection Officer) qui va se présenter comme le garant légal de la conformité GPDR dans le cadre d’un audit sureté interne. Cette mesure vise alors à consolider la protection des données individuelles en considérant que si une entreprise ne peut déterminer directement le profil d’une personne, une autre personne reconnue dans la liste de confiance peut le faire.