Le 25 mai 2018, la loi Informatique et Libertés a disparu officiellement au profit d’une nouvelle réglementation européenne, le « RGPD » pour Règlement Général sur la Protection des Données. Une retraite bien méritée pour un texte adopté en 1978, qui a géré la protection des données et des informations personnelles relatives à des personnes physiques en France pendant plus de 40 ans. Découvrez les différents aspects à savoir sur ce nouveau règlement européen.
Le RGPD s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».
En résumé, il s’agit d’un nouveau texte européen concernant le traitement et la circulation des données à caractère personnel sur lesquelles les entreprises et les organisations s’appuient pour proposer des services et des produits.
Ce texte couvre l’ensemble des résidents de l’Union Européenne. Alors que la loi Informatique et Libertés se basait sur des critères d’établissement et de moyens de traitement des données, le RGPD introduit une notion de ciblage : le critère principal d’application est désormais le traitement des données d’une personne se trouvant au sein de l’Union Européenne.
On entend par données à caractère personnel toutes les informations se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement.
Enfin, la notion de données « sensibles » est reprécisée par le RGPD pour le traitement de données à caractère personnel qui concerne l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, des données concernant la santé, la vie ou l’orientation sexuelle d’une personne physique. Elles bénéficient d’un traitement spécifique.
Ce règlement s’applique à toute structure (qu’elle soit responsable de traitement des données ou sous-traitant) ayant un établissement dans l’Union européenne ou proposant une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l’Union européenne.
Les actions de profilage visant cette cible sont également concernées. Ainsi, il n’y a pas de critère de taille d’entreprise, de lieu de stockage des données ou encore de secteur d’activité : toute entreprise qui cible le territoire européen et effectue des traitements de données à caractère personnel est concernée par ce règlement.
Ainsi les géants américains ou chinois d’Internet comme Google, Facebook, Amazon ou encore Baidu, Alibaba ou Xiaomi doivent donc tenir compte des modalités du RGPD s’ils veulent continuer sans risque à fournir des biens et des services à la population européenne.
Le RGPD met en place ou conforte un certain nombre de protections à destination des individus. Il consacre notamment un droit à l’oubli / droit au déréférencement, un droit à la portabilité et un droit au consentement renforcé.
Désormais, la notion de consentement libre, exprès et éclairé est bien posée : les entreprises doivent récolter au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles. L’objectif est de forcer la main des entreprises récalcitrantes à prouver leurs efforts sur le respect les obligations du RGPD en instaurant de lourdes sanctions.
Concrètement, le consentement ne devra plus être implicite et ne devra pas être recueilli à l’aide d’une case pré cochée, ni être déduit de l’absence de réponse de l’individu. Il faudra que les entreprises puissent prouver à travers un document écrit ou numérique qu’un consentement explicite a bien été recueilli préalablement à toute opération sur les données à caractère personnel. Les entreprises devront s’efforcer de recueillir le consentement des représentants des mineurs de moins de seize ans.
Enfin, les entreprises devront mettre en place un moyen ou une structure pour permettre aux individus de demander une copie lisible de leurs données. Il incombera aux entreprises d’agencer une structure afin que les individus puissent demander l’effacement de leurs données.
Toute entité manipulant des données personnelles concernant des Européens doit se conformer, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association.
Le RGPD contraint également la création du poste de DPO (Délégué à la Protection des données) dans certaines structures ou dans certains cas :
Parmi l’ensemble de ces dispositions, le RGPD ne représente pas uniquement des « contraintes » ou des « obligations ». Pierre-Louis Lussan, Expert Audit & Conformité IT chez Netwrix, met en avant les bons côtés de la législation :
Par exemple, une marque de produits de beauté vient de se créer et souhaite vendre ses produits en ligne. Elle pourra désormais se passer de déclarer à la CNIL l’existence de son fichier client avant de se lancer, ce qui lui épargne une étape qui était parfois fastidieuse. Elle devra en revanche en documenter le fonctionnement et la sécurisation de manière détaillée.
Les entreprises ont tout intérêt à respecter à la lettre le RGPD car les sanctions sont particulièrement élevées et dissuasive. En cas d’infraction, le montant des amendes peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent pour l’organisme fautif, sachant que le montant le plus élevé des deux sera retenu en cas de faute.
Aujourd’hui, en tant qu’entreprise, vous devrez être en conformité avec les nouvelles règles instaurées au sujet du traitement des données clients. Il est donc impératif que vous soyez bien préparé et informé sur les nouvelles pratiques et obligations du RGPD à suivre sous peine d’être durement sanctionné.
Décryptage sur l'accélération de la digitalisation des TPE PME depuis la crise du covid !
27 chiffres pour tout comprendre sur la profonde transformation des entreprises post-crise Covid 19 !
Nos experts ont décrypté pour vous Vicinity et son impact sur le référencement local.
Découvrez la démarche pour bénéficier du Chèque France Num d'aide à la digitalisation de votre activité.
Pour gagner en visibilité sur Internet, commencez par créer un compte Google My Business ! On vous explique tout.
Sur les réseaux sociaux, les hashtags sont partout. Mais savez-vous à quoi ils servent ? On vous explique leur rôle et comment bien les utiliser.