Tout ce qu'il faut savoir sur le RGPD

Le 25 mai 2018, la loi Informatique et Libertés a disparu officiellement au profit d’une nouvelle réglementation européenne, le « RGPD » pour Règlement Général sur la Protection des Données. Une retraite bien méritée pour un texte adopté en 1978, qui a géré la protection des données et des informations personnelles relatives à des personnes physiques en France pendant plus de 40 ans. Découvrez les différents aspects à savoir sur ce nouveau règlement européen.

Tout d’abord, qu’est-ce que le RGPD ?

Le RGPD s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».

En résumé, il s’agit d’un nouveau texte européen concernant le traitement et la circulation des données à caractère personnel sur lesquelles les entreprises et les organisations s’appuient pour proposer des services et des produits.

Ce texte couvre l’ensemble des résidents de l’Union Européenne. Alors que la loi Informatique et Libertés se basait sur des critères d’établissement et de moyens de traitement des données, le RGPD introduit une notion de ciblage : le critère principal d’application est désormais le traitement des données d’une personne se trouvant au sein de l’Union Européenne.

Les objectifs du texte :

• Unifier les réglementations européennes,
• Élargir son champ d’action en dehors de l’UE,
• Diminuer le risque pour les citoyens en cas de piratage,
• Donner aux citoyens le contrôle sur l’usage fait de leurs données,
• Responsabiliser les entreprises sur le traitement des données.
• Qu’entendons-nous par données à caractère personnel ?

On entend par données à caractère personnel toutes les informations se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement.

Exemple :

• Nom, prénom,
• Adresse postale,
• Email,
• Adresse IP,
• Numéro de téléphone,
• Ainsi qu’un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Enfin, la notion de données « sensibles » est reprécisée par le RGPD pour le traitement de données à caractère personnel qui concerne l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, des données concernant la santé, la vie ou l’orientation sexuelle d’une personne physique. Elles bénéficient d’un traitement spécifique.

Quelles sont les entreprises concernées par le RGPD ?

Ce règlement s’applique à toute structure (qu’elle soit responsable de traitement des données ou sous-traitant) ayant un établissement dans l’Union européenne ou proposant une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l’Union européenne.

Les actions de profilage visant cette cible sont également concernées. Ainsi, il n’y a pas de critère de taille d’entreprise, de lieu de stockage des données ou encore de secteur d’activité : toute entreprise qui cible le territoire européen et effectue des traitements de données à caractère personnel est concernée par ce règlement.

Ainsi les géants américains ou chinois d’Internet comme Google, Facebook, Amazon ou encore Baidu, Alibaba ou Xiaomi doivent donc tenir compte des modalités du RGPD s’ils veulent continuer sans risque à fournir des biens et des services à la population européenne.

Quelles nouvelles obligations du RGPD vous attendent ?

Des obligations du RGPD en faveur des individus

Le RGPD met en place ou conforte un certain nombre de protections à destination des individus. Il consacre notamment un droit à l’oubli / droit au déréférencement, un droit à la portabilité et un droit au consentement renforcé.

Désormais, la notion de consentement libre, exprès et éclairé est bien posée : les entreprises doivent récolter au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles. L’objectif est de forcer la main des entreprises récalcitrantes à prouver leurs efforts sur le respect les obligations du RGPD en instaurant de lourdes sanctions.

Concrètement, le consentement ne devra plus être implicite et ne devra pas être recueilli à l’aide d’une case pré cochée, ni être déduit de l’absence de réponse de l’individu. Il faudra que les entreprises puissent prouver à travers un document écrit ou numérique qu’un consentement explicite a bien été recueilli préalablement à toute opération sur les données à caractère personnel. Les entreprises devront s’efforcer de recueillir le consentement des représentants des mineurs de moins de seize ans.

Enfin, les entreprises devront mettre en place un moyen ou une structure pour permettre aux individus de demander une copie lisible de leurs données. Il incombera aux entreprises d’agencer une structure afin que les individus puissent demander l’effacement de leurs données.

Des obligations du RGPD pour les entreprises

Toute entité manipulant des données personnelles concernant des Européens doit se conformer, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association.

Le RGPD contraint également la création du poste de DPO (Délégué à la Protection des données) dans certaines structures ou dans certains cas :

• lorsque le traitement des données est effectué par une institution publique, si les activités de base de l’organisme consistent en des traitements qui imposent un suivi régulier et systématique à grande échelle des personnes concernées (par exemple pour les ciblages marketing ou la lutte contre la fraude),
• si les activités de base de l’organisme consistent en des traitements à grande échelle de données sensibles ou de données relatives aux condamnations et infractions spéciales (par exemple des infractions pénales dans le cadre de la lutte contre les incivilités en banque).
• Le DPO doit avoir une certaine neutralité et être en contact direct avec le Comex pour remonter les problématiques rapidement. À noter, le RGPD autorise la mutualisation du DPO pour des groupes d’entreprises. Les petites structures pourront aussi faire appel à un prestataire externe, à condition que ce délégué soit facilement joignable à partir de chaque lieu d’établissement.
   

Le RGPD ? Pas que des contraintes !

Parmi l’ensemble de ces dispositions, le RGPD ne représente pas uniquement des « contraintes » ou des « obligations ». Pierre-Louis Lussan, Expert Audit & Conformité IT chez Netwrix, met en avant les bons côtés de la législation :

• Le renforcement de la cybersécurité, par la mise en place des workflows respectant les bonnes pratiques de sécurité, diminuant sensiblement le risque de failles de sécurité et de pertes de données,
• Une meilleure connaissance et gestion des données collectées par l’entreprise,
• L’amélioration du ROI marketing, par la mise en place de règles de consentement renforcé (optin & double optin),
• La mise en place d’une nouvelle culture d’entreprise, « privacy-friendly » sur le traitement des données.
• Autre point intéressant avec le nouveau règlement : une conformité à priori. Auparavant, avec la loi Informatiques & Libertés, les associations, administrations et entreprises devaient prévenir la CNIL à chaque fois qu’elles créaient un fichier contenant des renseignements sur leurs membres, clients, employés ou administrés.
   

Par exemple, une marque de produits de beauté vient de se créer et souhaite vendre ses produits en ligne. Elle pourra désormais se passer de déclarer à la CNIL l’existence de son fichier client avant de se lancer, ce qui lui épargne une étape qui était parfois fastidieuse. Elle devra en revanche en documenter le fonctionnement et la sécurisation de manière détaillée.

Quelles sont les sanctions prévues par le RGPD ?

Les entreprises ont tout intérêt à respecter à la lettre le RGPD car les sanctions sont particulièrement élevées et dissuasive. En cas d’infraction, le montant des amendes peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent pour l’organisme fautif, sachant que le montant le plus élevé des deux sera retenu en cas de faute.

Aujourd’hui, en tant qu’entreprise, vous devrez être en conformité avec les nouvelles règles instaurées au sujet du traitement des données clients. Il est donc impératif que vous soyez bien préparé et informé sur les nouvelles pratiques et obligations du RGPD à suivre sous peine d’être durement sanctionné.