GDPR-EDI
Règlement (UE) 2016/679 (RGPD) applicable depuis le 25 mai 2018 qui impose la minimisation des données personnelles, le consentement, le droit à l'effacement — y compris dans les flux EDI B2B porteurs de données personnelles.
Définition
Le RGPD impose six principes fondamentaux : licéité, limitation des finalités, minimisation, exactitude, limitation de conservation, intégrité et confidentialité. En EDI, cela se traduit par : aucune donnée personnelle dans un flux B2B sans base légale, suppression à l'expiration de la durée de conservation, journalisation chiffrée des accès.
Origine
Adopté le 27 avril 2016, entré en application le 25 mai 2018 (sans période de transition). Remplace la Directive 95/46/CE. Administré par les CNIL nationales (CNIL en France, BfDI en Allemagne).
Usage
Un EDIFACT INVOIC entre fournisseur et acheteur ne contient que des données entreprise (RPGD-compatible). Mais un 837 HIPAA en Europe contiendrait des données médicales : interdit en l'état, sauf hébergement HDS et contrat de sous-traitance article 28 RGPD. Sanctions : jusqu'à 4 % du CA mondial.
Termes liés
- Audit trail — exigence directe.
- Trading partner — périmètre.
- DGE FR — régulateur national.
- HIPAA — homologue US.