Si l’internet a offert des millions de possibilités d’affaires et d’interactions, il a également permis à des tiers d’utiliser des données à mauvais escient par le biais d’usurpations d’identité, de fraudes et d’escroqueries par hameçonnage. C’est pourquoi il est nécessaire de protéger les informations clés couramment stockées par les entreprises, les organisations et même les gouvernements, notamment les programmes de fidélisation, les coordonnées des clients, la collecte de données, les transactions et les informations sur les employés, pour n’en citer que quelques-unes. Pour garantir le respect de cette obligation, diverses règles et réglementations ont été établies dans le monde entier, telles que le GDPR et le Privacy Shield (bouclier de protection des données). Bien qu’ils aient le même objectif, à savoir la protection des données, ils présentent des différences.
Qu’est-ce que le GDPR ?
Abréviation de General Data Protection Regulation, il s’agit d’un cadre de protection des données qui vise à unifier les lois sur la protection des données en Europe et à protéger les citoyens de l’Union européenne contre l’abus et l’utilisation abusive des données. Approuvées en avril 2016 et entrées en vigueur en mai 2018, les dispositions de ce cadre exigent que les entreprises des États-Unis qui collectent ou utilisent des données de l’UE ou qui ont des bureaux en Europe se conforment aux lignes directrices du GDPR.
Le GDPR est obligatoire pour chaque organisation et s’applique aux citoyens de l’UE ainsi qu’aux citoyens non européens qui vivent dans l’UE. En tant que tel, il peut faire l’objet d’une action en justice et est assorti de sanctions légales et d’amendes s’il n’est pas respecté, l’amende la plus élevée étant de 20 000 000 euros ou de 4 % du chiffre d’affaires mondial d’une organisation, le montant le plus bas étant retenu.
En ce qui concerne les données relatives aux ressources humaines, la Commission européenne impliquée dans le GDPR considère toute information concernant un employé comme une donnée personnelle et est donc protégée.
Qu’est-ce que le Privacy Shield ?
Il s’agit d’un accord entre l’UE et les États-Unis qui permet aux entreprises américaines de transférer des données à caractère personnel vers et depuis les pays de l’UE et de satisfaire aux exigences du GDPR. Il s’agit d’un programme d’autocertification facultatif qui fonctionne sous le double contrôle du ministère du commerce et de la commission fédérale du commerce. La FTC est toutefois chargée de faire respecter le règlement et d’en contrôler la conformité.
En ce qui concerne la représentation juridique, les deux parties procèdent à un examen annuel par l’intermédiaire de représentants qui examinent les accords et suggèrent des modifications afin de rapprocher le GDPR et le Privacy Shield.
Il existe toutefois un point de désaccord : le ministère américain du commerce considère le transfert de données relatives aux employés comme un transfert de données commerciales et non de données à caractère personnel. Bien que le non-respect du Privacy Shield américain entraîne des sanctions et des amendes, celles-ci sont moins lourdes. Parmi les types de sanctions figurent les suspensions, les amendes pouvant aller jusqu’à 40 000 dollars par jour dans certains cas, les injonctions, l’émission d’une ordonnance de cessation et d’abstention et le paiement forcé d’indemnités aux personnes concernées.
Parmi les aspects du bouclier de protection de la vie privée, on peut citer
- L’utilisation de données à caractère personnel à des fins spécifiques uniquement
- Les citoyens de l’UE ont accès à des voies de recours et à une protection
- Examiné conjointement par l’UE et les États-Unis
Similitudes entre le GDPR et le Privacy Shield
- Les deux visent à faciliter un programme de protection des données qui permet aux organisations d’effectuer des transactions commerciales avec un minimum de perturbations.
- Les deux visent à protéger les données d’un individu
Différences entre le GDPR et le Privacy Shield
Définition
Le GDPR fait référence à un cadre de protection des données qui vise à unifier les lois sur la protection des données en Europe et à protéger les citoyens de l’Union européenne contre l’abus et l’utilisation abusive des données. D’autre part, le Privacy Shield désigne un accord entre l’UE et les États-Unis qui permet aux entreprises américaines de transférer des données à caractère personnel vers et depuis les pays de l’UE et de satisfaire aux exigences du GDPR.
Application de la loi
Alors que le GDPR est appliqué par la Cour de justice de l’Union européenne, le Privacy Shield est appliqué par le Department of Commerce et la Federal Trade Commission.
Légalité
Le GDPR est obligatoire pour toute organisation traitant avec des citoyens de l’UE et des non-citoyens. En revanche, le Privacy Shield est un programme d’autocertification facultatif.
Traitement des données relatives aux ressources humaines
La Commission européenne impliquée dans le GDPR considère toute information concernant un employé comme une donnée personnelle et est donc protégée. En revanche, le ministère américain du commerce considère le transfert de données relatives aux employés comme un transfert de données commerciales et non de données à caractère personnel.
Champ d’application
Alors que le GDPR s’applique à toutes les organisations du monde entier qui traitent des données de résidents de l’UE, le Privacy Shield s’applique aux organisations basées aux États-Unis.
Sanctions
Le GDPR prévoit des sanctions strictes. En revanche, les sanctions et les amendes prévues par le Privacy Shield sont plus légères.
Résumé du GDPR par rapport au Privacy Shield
Le GDPR fait référence à un cadre de protection des données qui vise à unifier les lois sur la protection des données en Europe et à protéger les citoyens de l’Union européenne contre l’abus et la mauvaise utilisation des données. Il est appliqué par la Cour de justice de l’Union européenne et est obligatoire pour toute organisation traitant avec des citoyens de l’UE et des non-citoyens.
D’autre part, le Privacy Shield fait référence à un accord entre l’UE et les États-Unis qui permet aux entreprises américaines de transférer des données personnelles vers et depuis les pays de l’UE et de satisfaire aux exigences du GDPR. Il est mis en œuvre par le ministère du commerce et la commission fédérale du commerce et constitue un programme d’autocertification. Malgré leurs différences, ces deux organismes travaillent ensemble en aidant les organisations à transférer des données personnelles de l’UE vers les États-Unis.