Les enjeux et obligations du RGPD – Règlement Général sur la Protection des Données –

Facebook Twitter Google+ Linkedin email

Le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne, qui entre en vigueur le 25 mai 2018, oblige les entreprises à mieux gérer et sécuriser les données à caractère personnel de leurs clients.

RGPD – Règlement Général sur la Protection des Données – © Fotolia SDecoret

Cette nouvelle législation a une portée mondiale étendue. Elle s’applique aux entreprises exerçant des activités dans l’Union Européenne, et celles établies en dehors de l’UE qui collectent, stockent, utilisent, traitent, des données à caractère personnel de citoyens de l’UE. Le RGPD touche de nombreuses entreprises françaises. Il impacte la manière de traiter les données personnelles et la protection de la vie privée. Il implique des changements techniques, juridiques, opérationnels, pour les entreprises. En cas de manquement aux obligations, les sanctions encourues peuvent s’élever à 4% du CA annuel mondial d’une entreprise ou à 20M€ ; l’extension des pouvoirs réglementaires permet l’application des sanctions au-delà des frontières.

Les éléments saillants apportés par le RGPD

Le RGPD modifie « la gouvernance Data » des organisations (administrations, établissements publics, associations, entreprises et leurs sous-traitants). Plutôt qu’une logique de contrôle, il installe une responsabilisation des entreprises à travers des outils qu’elles devront développer en interne. En contrepartie, les entreprises (responsables de traitement et sous-traitants) gérant des données à caractère personnel devront apporter la preuve que des mesures appropriées ont été mises en œuvre afin de protéger leurs données. Le nouveau règlement impose toute une série d’obligations…
Le renforcement des droits des personnes ; le consentement explicite de l’utilisateur doit-être recueilli avant que l’entreprise ne collecte et ne traite ses données personnelles. L’utilisateur dispose de droits spécifiques comme le droit d’accès aux données, le droit de rectification, le droit à l’effacement de données personnelles dans les meilleurs délais, le droit à la portabilité permettant de récupérer ses données pour un usage personnel ou pour les transférer.
L’obligation de notification des incidents ; la notification des violations de données personnelles est obligatoire dans un délai de 72h à partir du moment où la violation est connue.
Des sanctions lourdes* ; la mise en place de sanctions dissuasives pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial d’une organisation.
Le principe de minimisation des données collectées ; seuls peuvent être collectés les renseignements nécessaires au regard des finalités pour lesquelles sont traitées les données.
La désignation d’un Data Protection Officer (DPO) ; les organisations manipulant des données à grande échelle et/ou traitant des données sensibles devront nommer un Délégué à la Protection des Données Personnelles (DPO) afin d’assurer la gouvernance interne des données personnelles.
Le principe d’accountability ; tout responsable de traitement ou sous-traitant a l’obligation de conserver un registre des données permettant de tracer l’ensemble du traitement des données personnelles mis en œuvre dans l’organisation.

Quels changements dans les entreprises ?

Le RGPD nécessite le déploiement de mesures techniques et organisationnelles visant la protection des données dans les entreprises. Les efforts de mise en conformité peuvent varier en fonction des entreprises. Les PME sont dispensées d’obligations, telles que la désignation d’un DPO, la consignation de leurs activités de traitement, ou l’analyse d’impact…, mais ces assouplissements sont assortis de conditions (relatives à la manipulation de données) en limitant la portée.
Le nouveau règlement définit les données personnelles comme toute information se rapportant à une personne physique identifiée ou identifiable : identité, photo, adresse mail, IP, n° de téléphone, identifiants, mots de passe, données économiques ou sur la santé… Il impose un usage responsable des données qui doivent être traitées de manière loyale, licite et transparente.
La protection des données doit être intégrée en amont, dès la conception des produits et services, mais aussi, par défaut, et doit-être la plus protectrice possible.
Le RGPD exige l’obtention du consentement de l’utilisateur préalable à toute collecte et traitement de ses données à caractère personnel. Ce consentement doit se manifester par un acte positif (case à cocher, bouton), de même chaque traitement (prospection commerciale, maintenance) doit faire l’objet d’un consentement séparé, et distinct des autres. Enfin, l’utilisateur doit être informé clairement sur la finalité de l’usage de ses données personnelles. Ainsi, le traitement des données n’est licite que si l’utilisateur a consenti au traitement de ses données, et/ou si ce traitement est nécessaire à l’exécution d’un contrat auquel il est partie prenante.
Le principe de responsabilité des entreprises implique de leur part, la mise en œuvre de processus d’analyse en matière de sécurité et une approche par les risques et dommages pouvant être occasionnés sur la vie privée des clients. En cas de risque élevé (profilage, traitement de masse, bases de données personnelles), les entreprises doivent réaliser une étude d’impact potentiel sur la vie privée (Privacy Impact Assessment ou PIA) demontrant que les risques sont limités.
Lors d’un piratage, le RGPD impose l’obligation de notifier les incidents et de signaler à la Commission Nationale de l’Informatique et des Libertés (CNIL) et aux personnes concernées quelles données ont été compromises dans un délai de 72h.
Les entreprises sont concernées pour leur cœur de métier mais également de façon transversale dans les services ; la mise en œuvre et la gestion, du RGPD ne relèvent pas que de l’informatique et de la mise en conformité, les services clients, vente et marketing, ressources humaines, comptabilité, juridique doivent aussi s’adapter à la nouvelle législation.
La RGPD est l’occasion de mettre en place des services à plus forte valeur ajoutée, de faire de la confidentialité un avantage concurrentiel. Les entreprises cherchant à mettre en avant leur responsabilité sociétale pourront faire connaître leur politique de gestion des données personnelles, ces démarches correspondent pleinement aux attentes de la société.

*Avant de sanctionner au nom du RGPD qui entre en vigueur le 25 mai 2018, le régulateur (CNIL) entend accompagner les entreprises pendant plusieurs mois après l’entrée en application du texte, et devrait faire preuve de souplesse en matière de contrôle.

Plus d’information sur le site de la CNIL

Accéder au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 26 avril 2016

L’essentiel du RGPD le nouveau cadre légal pour la protection des données personnelles

Mots-clés :

0 avis • Donnez le votre

Le dépôt des avis est fermé.