RGPD : 10 points importants à comprendre pour les entreprises

 

J-51… Le RGPD, c’est-à-dire le règlement général sur la protection des données (ou GDPR en anglais) sera effectif dans très exactement 51 jours, soit le 25 mai 2018.

Ce nouveau règlement européen, en vigueur depuis 2016 et applicable obligatoirement dès le 25 mai prochain, vise à régir et à renforcer la collecte, le stockage et l’utilisation des données personnelles de tout citoyen européen afin d’en garantir la sécurité.

Si l’appellation de ce nouveau règlement est relativement explicite, il reste encore relativement flou pour les entreprises et les professionnels qui doivent absolument s’y conformer sous peine de lourdes amendes.

En quoi consiste le RGPD ? Quel est son champ d’action ? À qui s’adresse t-il et pourquoi ? Quels enjeux et obligations pour les entreprises ? Autant de questions qui ne trouvent pas toujours de réponse.

Bien sûr, pour être conforme, le RGPD devra, au sein de votre entreprise, faire l’objet de démarches beaucoup plus approfondies et nécessite une étude complète en fonction de vos activités.

Mais afin de vous aider à mieux cerner l’étendue de ce règlement européen, on fait le point pour vous sur les différents aspects de ce nouveau règlement dans notre article du jour.

 

 

#1 : Qu’est-ce qu’une donnée personnelle ?

 

Le grand principe de base de ce nouveau règlement européen est la protection des données personnelles de tout citoyen européen.

Selon le RGPD, toute donnée relative à une personne physique et permettant son identification, que ce soit de manière directe ou indirecte, constitue une donnée personnelle et est donc concernée par ce nouveau règlement.

Nom, prénom, adresse (e-mail ou postale), numéro de permis de conduire, données biométriques, etc. Toutes ces données qui peuvent être collectées par une entreprise sont soumises au nouveau règlement européen et doivent à ce titre être obligatoirement protégées par les entreprises.

 

#2 Quelles étapes pour la collecte des données ?

 

Ce nouveau règlement implique une modification générale quant aux collectes des données personnelles des utilisateurs.

Si jusqu’à présent le fait « d’accepter les conditions générales d’utilisation » au sens large d’un service, d’un outil ou encore d’un site internet suffisait à induire implicitement que l’ensemble des données collectées pouvaient être utilisées par une entreprise, ce ne sera plus le cas à partir du 25 mai 2018.

Désormais, même pour une simple inscription à une newsletter, toute entreprise devra recueillir immédiatement le consentement d’un utilisateur avant de pouvoir ajouter celui-ci à sa base de données.

Mais ce n’est pas tout, outre le fait d’obtenir explicitement le consentement, l’entreprise devra également ajouter de manière visible un lien vers sa politique de confidentialité et d’utilisation de données. Ces informations doivent être accessibles et transmises obligatoirement à n’importe quelle personne physique, qui devra donner un consentement clair et explicite.

En résumé, toute entreprise devra pouvoir désormais apporter la preuve du consentement explicite des personnes dont elle détient des données, que ce soit la collecte des données en elle-même, mais aussi des différentes utilisations qui pourront en être faites (démarchage commercial, marketing, analyse statistique et comportemental, revente à des entreprises tiers, etc.).

 

#3 : Permettre le droit d’accès, de rectification et de suppression des données collectées.

 

 

Désormais, toute entreprise devra ABSOLUMENT garantir l’accès à l’ensemble des données collectées sur un utilisateur à ce dernier.

Plus largement, les utilisateurs peuvent désormais prétendre à un (vrai) droit à l’oubli total de leurs données.

Concrètement, ce droit à l’oubli implique que les entreprises doivent être en mesure de garantir aux personnes qui leur en feront la demande (et qui respectent les 6 motifs valables fixés par le RGPD dans son article 17) que l’ensemble des données sera vraiment et définitivement supprimé de l’ensemble de leurs systèmes, et ce, dans un délai de 30 jours.

 

 

#4 Permettre la portabilité des données personnelles

 

 

Au même titre que la portabilité du numéro obligatoire depuis des années pour les différents acteurs de la téléphonie mobile, toute personne pourra désormais exiger d’une entreprise la mise à disposition de ses données personnelles dans un format « structuré, couramment utilisé et lisible par une machine ».

 

Le RGPD va même encore un peu plus loin en stipulant que cette personne pourra également formuler une demande de transfert de ce fichier (compilant l’ensemble de ses données) à une autre entreprise « lorsque cela est techniquement possible ».

 

 

#5 RGPD & protection des données 

 

C’est également l’un des points incontournables de ce règlement : un plus haut niveau de protection des données personnelles et ce à tout niveau à toute étape, de la collecte à la suppression en passant par son utilisation.

Dans son texte, le RGPD instaure ainsi la « protection des données dès la conception » et la « sécurité par défaut ».

En effet, au-delà du « simple » droits d’accès et de modification des données par les utilisateurs, le RGPD vise aussi et surtout à protéger les données des utilisateurs, afin de fixer de nouveaux standards en matière de Cyber Sécurité notamment après une année 2017 marquée par des attaques massives à l’encontre des entreprises, entrainant parfois jusqu’à la paralysie de certaines grandes entreprises (comme l’attaque Wannacry par exemple) ou encore la fuite de données personnelles.

D’après une étude de Deloitte Conseil, 71% des entreprises ont affirmé une hausse des attaques à leur encontre en 2017.

Aussi, toutes les entreprises devront donc mettre en place de nouveaux processus de sécurisation des données personnelles (que ce soient des données clients ou employés) et devront être en mesure de démontrer que toutes les mesures préventives ont été prises en cas de contrôle par une autorité compétente.

 

Sous-traitance de gestion des données :

 

Autre point important, dans le cas où une entreprise soustraite la partie gestion de ses données, il incombe à l’entreprise de s’assurer que ses partenaires sont également en conformité avec le RGPD.

En effet, la mise en conformité avec le RGPD nécessite de mettre en place une stratégie d’un bout à l’autre du traitement des données.

Le fait de sous-traiter à des entreprises tierces n’exempte donc pas l’entreprise en matière de sécurité de données.

Il peut également être primordial d’établir une chaine de responsabilité en cas de fuites de données ou de problèmes liés à la sécurité des données de manière générale.

 

Outils tiers :

 

Idem quant aux différents des outils qui peuvent être utilisés par une entreprise dans le cadre de ses activités et notamment de ses démarches commerciales, de relation client et de communication de manière générale.

Exemple concret avec la partie e-mail transactionnel et marketing qui peut être mis en place par une entreprise. Il incombe à l’entreprise que les outils utilisés soient également bien mis en conformité de leur côté avec les nouvelles normes fixées par le RGPD et prendre toutes les mesures pour agir en conséquence si ce n’est pas le cas.

 

#6 Procédure en cas de fuites de données personnelles

 

En cas de fuites de données personnelles, les entreprises devront se conformer aux nouvelles exigences du RGPD et notamment s’engager à respecter deux points importants :

  • L’obligation d’avertir immédiatement les personnes concernées par cette fuite de données et mettre à leur disposition l’ensemble des informations relatives à cette fuite : données concernées, détails de la fuite, information sur les autorités et organismes à contacter en cas de volonté de dépôt de plainte ou de réclamation, etc.
  • De leurs côtés, toutes les entreprises devront disposer au préalable d’une liste des organismes et autorités compétents à contacter d’urgence lors d’une fuite de ces données et des différentes actions à mener pour résoudre le problème et pour informer les utilisateurs.

 

 

#7 Nomination obligatoire d’un DPO (délégué à la protection des données) pour certaines instances et entreprises

 

Autre changement important à prendre en compte : la nomination d’un Délégué à la Protection des Données (DPO) ou « Data Privacy Officer en anglais» désormais obligatoire pour :

  • toutes les instances publiques,
  • toutes les entreprises privées qui effectuent des traitements de données personnelles à grande échelle.

Ce DPO sera en charge d’administrer et de piloter l’ensemble de la mise en conformité du RGPD mais également d’assurer le suivi de la protection de données tout au long du cycle de vie des données.

Il/elle aura notamment comme tâches et obligations les éléments suivants :

  • suivre la mise en conformité du RGPD à l’échelle de l’entreprise,
  • mettre à disposition de l’organisation et de tout le personnel toutes les informations relatives à la gestion et à l’utilisation des données personnelles,
  • centraliser l’ensemble des demandes d’application des droits des personnes (accès, modification portabilité, droit à l’oubli, etc),
  • assurer la coopération pleine et entière de l’entreprise avec n’importe quelle autorité mandatée pour réaliser des contrôles de conformité et de sécurité,
  • participer à l’élaboration des analyses d’impacts pouvant être obligatoires pour certaines données jugées plus sensibles,
  • toutes autres réflexions et actions relatives aux sujets des collectes et traitements de données personnelles.

 

 

#8 Quel est le champ d’application du RGPD ?

 

Le RGPD, comme son nom l’indique est un règlement européen. À l’inverse d’une directive européenne, ce règlement est obligatoire dans TOUS les États membres de l’UE et doit être appliqué dans son intégralité.

Il entrera en vigueur le 25 mai 2018 et ce de manière simultanée, directe et obligatoire dans l’ensemble des pays membres de l’Union Européenne.

 

 

#9 Quelles entreprises sont concernées ?

 

Le RGPD ne s’applique pas qu’aux grandes entreprises ! C’est malheureusement ce qui ressort le plus souvent des discussions autour des sujets liés au RGPD.

La plupart des acteurs concernés (notamment les dirigeants de TPE ou de PME) pensent à tort que ce nouveau règlement et les mesures qu’il implique ne s’applique qu’aux grandes entreprises traitant des données personnelles à grande échelle.

FAUX !

Sont concernées par le RGPD toutes entreprises qui traitent des données personnelles à travers des bases de données (centralisées ou non) de citoyen européen (tout État membre de l’UE confondu), aussi bien au niveau des prospects, clients et utilisateurs que des employés d’une entreprise.

Ce qui implique que n’importe quelle organisation (entreprise, association, institution) européenne ou non qui collecte et traite des données de citoyens européens sont concernées et doivent obligatoirement se conformer à ce règlement.

Exemple : une multinationale d’envergure comme Apple, qui possède et traite une base de données considérable (clients, utilisateurs, employés) se doit normalement de se conformer aux exigences du RGPD pour l’ensemble des données touchant à des citoyens de l’union européenne.

 

#10 Quelles sanctions peuvent être appliquées ?

 

Qui dit application obligatoire par règlement européen dit, logiquement, sanctions !

Afin de s’assurer que la mise en conformité RGPD ne reste pas du domaine de la théorie, des sanctions ont bien évidemment été prévues par l’Union Européenne.

Les entreprises non conformes au RGPD s’exposent donc à des amendes pouvant atteindre 4% du chiffre d’affaires mondial et pouvant atteindre jusqu’à 20 millions (euros) pour les infractions et manquement jugés les plus graves.

Chaque état de l’Union Européenne dispose d’une autorité de contrôle visant à faire respecter l’application du RGPD. En France, ce sera bien évidemment la CNIL (Commission Nationale de l’Informatique et des Libertés) qui s’en occupera.