Le Règlement Général sur la Protection des Données – RGPD ; les enjeux et obligations

Facebook Twitter Google+ Linkedin email

A compter du 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est applicable en France. Ce règlement européen vise à renforcer la protection des libertés et droits fondamentaux des individus, notamment, les droits à la protection des données personnelles. Il s’applique à toutes structures (entreprises, associations, organismes publics) exerçant des activités dans l’Union Européenne, ainsi qu’aux entreprises mondiales qui collectent, hébergent et traitent, des données de citoyens de l’UE.
Le RGPD s’articule autour de 3 axes : le renforcement des droits des personnes, la responsabilisation des acteurs et de leurs sous-traitants, le renforcement des pouvoirs des autorités de contrôle et la montée en puissance des sanctions*, ces dernières pouvant s’élever à 4% du CA annuel mondial d’une entreprise ou à 20M€.

RGPD – Règlement Général sur la Protection des Données – © Fotolia SDecoret

Les éléments saillants apportés par le RGPD

Le RGPD modifie « la gouvernance Data » des organisations. Elles devront être en conformité avec le RGPD, et en mesure d’apporter la preuve de leur conformité. Il installe une responsabilisation des entreprises qui sont invitées à mettre en place des politiques de protection des données et procédures vertueuses, à former et sensibiliser leurs collaborateurs, à désigner un Délégué à la Protection des Données. Le nouveau règlement impose une série de droits et obligations et donc de sanctions…

Des droits sur les données personnelles ; le consentement explicite de l’utilisateur doit-être recueilli avant que l’entreprise ne collecte et ne traite ses données personnelles. L’utilisateur dispose de plus de transparence sur l’utilisation qui est faite de ses données, ainsi que de droits spécifiques, comme le droit d’accès et à la rectification des données, le droit à l’oubli de données, le droit à la portabilité permettant de récupérer ses données sous un format ouvert ou de les transférer.
L’obligation de notification des incidents ; la notification des violations des données personnelles est obligatoire dans un délai de 72h à partir du moment où celle-ci est connue.
Des sanctions lourdes* ; la mise en place de sanctions dissuasives pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial d’une organisation.
Le principe de limitation des données ; seules peuvent être collectés les renseignements nécessaires au regard des finalités pour lesquelles sont traitées les données.
La désignation d’un Data Protection Officer (DPO) ; les organisations manipulant des données à grande échelle et/ou traitant des données sensibles devront nommer un Délégué à la Protection des Données Personnelles (DPO) afin d’assurer la gouvernance interne des données personnelles.
Le principe d’accountability ; tout responsable de traitement ou sous-traitant a l’obligation de tenir un registre des activités de traitement traçant l’ensemble du traitement des données personnelles mis en œuvre dans l’organisation.

Quels changements dans les entreprises ?

Le RGPD nécessite le déploiement, dans les entreprises, de mesures techniques et organisationnelles traitant la protection des données personnelles et la protection de la vie privée. Les efforts de mise en conformité peuvent varier en fonction des entreprises. Les PME sont dispensées d’obligations, telles que la désignation d’un DPO, la consignation de leurs activités de traitement, ou la réalisation d’analyses d’impact, mais ces assouplissements sont assortis de conditions (relatives à la manipulation de données) en limitant la portée.
Le nouveau règlement définit les données personnelles comme toute information se rapportant à une personne physique identifiée ou identifiable : identité, photo, adresse mail, IP, n° de téléphone, identifiants, mots de passe, données économiques ou sur la santé… Il impose un usage responsable des données qui doivent être traitées de manière loyale, licite et transparente.

Le principe de protection des données doit être intégré, en amont, dès la conception des produits et services, mais aussi par défaut.
Le RGPD exige l’obtention du consentement de l’utilisateur préalable à toute collecte et traitement de ses données à caractère personnel. Ce consentement doit se manifester par un acte positif (case à cocher, bouton), de même chaque traitement (prospection commerciale, maintenance…) doit faire l’objet d’un consentement séparé, et distinct des autres. Enfin, l’utilisateur doit être informé clairement sur la finalité de l’usage de ses données personnelles. Ainsi, le traitement des données n’est licite que si l’utilisateur a consenti au traitement de ses données, et/ou si ce traitement est nécessaire à l’exécution d’un contrat auquel il est partie prenante.

Le principe de responsabilité des entreprises implique, la mise en œuvre de processus d’analyse en matière de sécurité, et une approche par les risques et dommages pouvant être occasionnés sur la vie privée des personnes. En cas de risques élevés (profilage, traitement de masse, bases de données), les entreprises doivent réaliser des analyses d’impact démontrant que les risques sont limités.
Le RGPD impose l’obligation d’informer la Commission Nationale de l’Informatique et des Libertés (CNIL), et les personnes concernées, sur d’éventuelles violations de leurs données.
Les entreprises sont concernées pour leur cœur de métier mais également de manière transversale dans les services. La mise en œuvre et la gestion, du RGPD ne relèvent pas uniquement de l’informatique et de la mise en conformité, les services clients, vente et marketing, ressources humaines, comptabilité, juridique, doivent également s’adapter à la nouvelle législation.

Le RGPD est l’occasion de mettre en place des services à plus forte valeur ajoutée, de faire de la confidentialité un avantage concurrentiel. Les entreprises cherchant à mettre en avant leur responsabilité sociétale pourront faire connaître leur politique de gestion des données personnelles, ces démarches correspondent aux attentes de la société.

*Avant de sanctionner au nom du RGPD qui entre en vigueur le 25 mai 2018, le régulateur (CNIL) entend accompagner les entreprises pendant plusieurs mois après l’entrée en application du texte, et devrait faire preuve de souplesse en matière de contrôle.

Plus d’information sur le Règlement européen sur la protection des données via le site de la CNIL

 

 

 

 

 

 

Mots-clés :

0 avis • Donnez le votre

Le dépôt des avis est fermé.