Le règlement général sur la protection des données (RGPD) de l'UE vous concerne-t-il ?

·
5 juillet 2018
·
5 min read

Par Martina Aguocha

GDPR est devenu un mot à la mode ces derniers temps. Il est entré en vigueur le 25 mai 2018 et a conduit à une multitude de politiques de confidentialité et d'accords de protection des données mis à jour. Il semble avoir pris la stature du monstre dans le placard. Conformez-vous ou le GDPR vous aura!

Avec des amendes jusqu'à 20 millions d'euros (vingt millions d'euros) soit 4% du chiffre d'affaires mondial annuel, ce monstre a des dents énormes. Alors, quel est ce monstre et se cache-t-il dans votre placard prêt à bondir ?

Le GDPR

Le Parlement européen et le Conseil de l'Union européenne (UE) ont adopté le règlement (UE) 2016/679, mieux connu sous le nom de règlement général sur la protection des données (RGPD) le 27 avril 2016.

Publicité

L'objectif du règlement est de protéger les données à caractère personnel des citoyens de l'UE formellement appelés personnes concernées. Dans le monde numérique d'aujourd'hui, l'utilisation et le traitement des données personnelles sont plus ou moins une nécessité, même les tâches banales étant effectuées en ligne et nécessitant au moins un mode d'identification.

L'UE reconnaît cela ainsi que le fait que la protection des données à caractère personnel nécessairement traitées est un droit humain fondamental. Ces deux réalités ont conduit au GDPR qui réglemente les activités des contrôleurs et des sous-traitants de données avec de lourdes sanctions en cas de non-conformité.

Quelques définitions clés

'Contrôleur de données' est simplement le mot fantaisiste pour désigner la personne ou l'entreprise qui demande des données personnelles à quelque fin que ce soit

'Processeur de données' est la société qui traite les données obtenues qui peut ou non être également le responsable du traitement.

Certaines des principales dispositions du RGPD incluent

  • Le droit à l'oubli, qui est le droit de la personne concernée de faire supprimer définitivement toutes ses données personnelles stockées par un responsable du traitement ou un sous-traitant.
  • Le droit d'exiger gratuitement un dossier de toutes les informations personnelles détenues par un responsable du traitement et de retirer facilement son consentement au traitement de ses données à tout moment.
  • De leur côté, le RGPD exige que les responsables du traitement et les sous-traitants obtiennent le consentement de la personne concernée pour traiter ses données dans un document simple et intelligible et permettent tout aussi facilement à la personne concernée de retirer son consentement.
  • Les responsables du traitement et les sous-traitants sont également tenus de mettre en œuvre des mesures de sécurité adéquates et d'informer la personne concernée d'une violation de leur sécurité sans retard injustifié.

A qui s'applique le RGPD ?

GdprCe monstre semble certes redoutable mais son aspect le plus terrifiant est sa capacité à traverser les océans. Le champ d'application du RGPD est remarquablement large, destiné à couvrir non seulement les activités des responsables du traitement et des sous-traitants dans l'UE, mais également au traitement des données personnelles des citoyens de l'UE par les responsables du traitement et les sous-traitants en dehors de l'UE.

Soyez le plus intelligent de la pièce

Rejoignez les 30,000 5 abonnés qui reçoivent Techpoint Digest, un tour d'horizon hebdomadaire et quotidien amusant de XNUMX minutes des événements technologiques africains et mondiaux, directement dans votre boîte de réception, des heures avant tout le monde.
Abonnement au résumé

Essayez-le, vous pouvez vous désinscrire à tout moment. Politique de confidentialité.

Les définitions des termes « données personnelles » et « traitement de données » sont également très larges. Les données personnelles sont définies comme toute information relative à une personne physique identifiée ou identifiable comprenant un nom et une adresse (tant physique qu'IP). Le traitement des données est également défini comme toute opération effectuée sur les données, y compris la collecte.

Concrètement, le RGPD s'applique donc à presque toutes les entreprises de technologies de l'information modernes offrant des services aux citoyens de l'UE. Tout site Web par le biais duquel des biens sont vendus nécessitant un nom et une adresse de livraison ou offrant des services ou des informations nécessitant un enregistrement avec un e-mail ou un numéro de téléphone pourrait relever du champ d'application du RGPD. Du moins en théorie.

Mais les entreprises nigérianes sont-elles tenues de se conformer au RGPD et que se passe-t-il si elles ne le font pas ? Les entreprises nigérianes pourraient-elles sentir les énormes dents du monstre ou le laisseraient-ils dehors à bout de souffle ?

Comment appliquer le RGPD ?

Généralement, le RGPD peut être appliqué de deux manières : des amendes du régulateur et une action en responsabilité civile d'une personne concernée. La situation la plus simple et la plus simple serait le cas des entreprises nigérianes ayant des succursales ou des activités dans l'UE, par exemple certaines banques.

Le champ d'application du RGPD est suffisamment large pour couvrir le traitement des données effectué par une entreprise dans l'UE, même si le traitement des données lui-même n'est pas effectué dans l'UE. Ainsi, selon la manière dont les données sont traitées, la filiale d'une entreprise nigériane dans l'UE pourrait être tenue responsable du non-respect du RGPD dans son traitement des données au Nigeria et verbalisée par le régulateur dans l'UE. De la même manière, une personne concernée pourrait également poursuivre la filiale de l'UE pour les dommages qui lui ont été causés en raison du non-respect par la société nigériane du RGPD. Les choses se compliquent un peu là où la société nigériane n'est pas présente dans l'UE.

Application du RGPD au Nigéria

En principe, les lois de l'UE ne peuvent pas être appliquées en dehors de l'UE, pas plus que les sanctions des régulateurs de l'UE sans la connivence active des autorités locales. Mais cela ne signifie pas que les entreprises nigérianes obtiennent un laissez-passer.

L'utilisation de traités bilatéraux et multilatéraux et l'enregistrement de jugements étrangers pourraient servir à faire entrer le monstre à l'intérieur. Les processeurs de données nigérians pourraient également inviter le monstre en exécutant un accord de protection des données contenant une clause d'indemnisation, les contrôleurs de données dans l'UE s'engageant effectivement à rembourser le contrôleur de données pour tout dommage ou sanction qui leur serait imposé en raison du non-respect du RGPD par le processeur de données.

En outre, le régulateur de l'UE pourrait utiliser un certain nombre de moyens secondaires pour assurer la conformité, notamment imposer des sanctions aux sociétés de l'UE affiliées de quelque manière que ce soit à des sociétés nigérianes non conformes ou rendre difficile pour les sociétés nigérianes de technologie de l'information non conformes d'opérer dans l'UE.

Même en l'absence de sanctions, les entreprises nigérianes feraient preuve de négligence en ignorant complètement le RGPD. En premier lieu, afin de faire des affaires avec toute entreprise de l'UE nécessitant un traitement de données, l'entreprise nigériane serait très probablement tenue de signer l'accord de protection des données susmentionné, se soumettant ainsi au RGPD.

En outre, les investisseurs étrangers et les entités présentes dans l'UE ne sont pas susceptibles d'investir ou de rechercher une affiliation avec une entreprise qui pourrait à un moment donné les exposer à des sanctions ou à toute sorte de mesure réglementaire. En plus d'une éventuelle responsabilité, l'investisseur étranger ou le partenaire commercial tiendrait également compte de sa réputation.

Avec la prévalence actuelle des considérations éthiques et morales dans les affaires, un investissement dans une entreprise qui refuse de se conformer aux lois visant à protéger la vie privée de ses clients n'est probablement pas souhaitable pour les entreprises étrangères. Par conséquent, bien qu'il ne soit pas obligatoire pour les entreprises nigérianes de se conformer au RGPD, cela pourrait être nécessaire d'un point de vue commercial.


Vous avez un pourboire? Nos journalistes sont prêts à creuser plus profondément. S'il vous plaît partager vos idées et informations et aidez-nous à découvrir les histoires qui comptent.

Je me harcèle parce que je me fais faire ce à quoi je pense. Retrouvez-moi sur Twitter @MuyoSan.
Je me harcèle parce que je me fais faire ce à quoi je pense. Retrouvez-moi sur Twitter @MuyoSan.
Abonnez-vous à Techpoint Digest
Rejoignez des milliers d'abonnés pour recevoir notre tour d'horizon hebdomadaire et quotidien de 5 minutes des événements technologiques africains et mondiaux, directement dans votre boîte de réception, des heures avant tout le monde.
Il s'agit d'un tour d'horizon quotidien de 5 minutes des événements technologiques africains et mondiaux, envoyé directement dans votre boîte de réception, entre 5 h et 7 h (WAT) tous les jours de la semaine ! 
Abonnement au résumé

Essayez-le, vous pouvez vous désinscrire à tout moment. Politique de confidentialité.

Je me harcèle parce que je me fais faire ce à quoi je pense. Retrouvez-moi sur Twitter @MuyoSan.

Autres histoires

43b, Emina Cres, Allen, Ikeja.

 Techpremier Media Limited. Tous les droits sont réservés
loupe