RGPD : neuf notions essentielles à retenir

 |   |  875  mots
Le RGPD consacre un nouveau mode de régulation des données personnelles.
Le RGPD consacre un nouveau mode de régulation des données personnelles. (Crédits : iStock)
À deux mois de la date fatidique, la plupart des entreprises ne sont pas prêtes à cette transition d'envergure baptisée RGPD, un nom pour le moins peu explicite. Cette nouvelle réglementation assortie d'amendes salées en cas de non conformité, renforce la protection des données personnelles des citoyens ainsi que les obligations, en la matière, des professionnels et des entreprises. Vite, un petit rappel de 9 notions essentielles.

Que signifie RGPD-GDPR

Le Règlement général sur la protection des données, ou GDPR (General Data Protection Rule) modernise une précédente directive, datant de 1995 et révisée en 2004. Voté en mai 2016 par le Parlement européen après quatre ans de négociations, le RGPD définit un ensemble de règles communes pour tous les acteurs traitant à grande échelle des données personnelles de citoyens européens. Il remplace de fait les 28 législations existantes

Données personnelles

Il s'agit de toutes les informations liées à une personne physique identifiée ou identifiable: le nom, le prénom, l'adresse postale, l'adresse courriel, les données de localisation... Dans la mesure où la plupart des données anonymisées peuvent tout de même conduire à l'identification d'un individu, le règlement s'applique de fait à tous les acteurs - ou presque - traitant des données personnelles.

Ce que les entreprises doivent être capables d'expliquer

Avec le RGPD, n'importe quelle entreprise dans le monde traitant des données de citoyens européens devra être capable d'expliquer clairement pourquoi les données sont collectées. Le citoyen européen est en droit de connaître depuis quand les données sont récoltées, combien de temps elles seront stockées, où, et avec quels moyens de sécurisation. L'entreprise doit aussi expliquer avec quelles autres sociétés les données seront partagées et comment elles seront exploitées par ces tiers (marketing personnalisé, achat programmatique...).

Consentement "explicite"

L'utilisateur devra donner un accord non ambigu pour la collecte et l'exploitation de ses données. S'il refuse, il devra tout de même pouvoir accéder au site concerné, dans la mesure du possible. Ce qui n'est pas le cas actuellement : de nombreux acteurs imposent d'accepter l'exploitation des données personnelles - dans des termes souvent peu clairs - sous peine de se voir refuser l'accès au service. Les entreprises qui s'adressent aux mineurs de moins de 16 ans devront rédiger le texte de consentement en des termes clairs et facilement compréhensibles.

Portabilité des données

La loi informatique et libertés de 1978 a créé un droit d'accès aux données. Le RGPD va plus loin avec la portabilité des données, qui permet à un individu de demander à une entreprise de lui fournir, « dans un format structuré, couramment utilisé et lisible par machine » (art. 20), l'intégralité de ses données personnelles, pour qu'il puisse les transférer à un autre prestataire. De quoi, par exemple, changer d'énergéticien sans perdre son historique de consommation.

Les nouveaux droits des citoyens

Renforcé par le RGPD, le droit à l'effacement dit « droit à l'oubli » (article 17) permet à un individu de demander la suppression de ses données personnelles. Le « responsable du traitement » doit l'effectuer « dans les meilleurs délais ». Par ailleurs, vous pouvez aussi exercer à tout moment votre droit de rectification (art. 16), votre droit à la limitation du traitement (art. 18) et votre droit d'opposition (art. 21). Ce dernier s'applique par exemple lorsque les données personnelles sont utilisées à des fins de prospection. En cas de violation au règlement, des actions collectives peuvent être menées par des associations actives dans le domaine de la protection des droits et libertés.

DPO (Data Protection Officer)

Le Data Protection Officer (DPO) est le chef d'orchestre de la gouvernance des données au sein d'une entreprise ou d'une collectivité. Sa désignation est une obligation pour les structures publiques (hôpitaux, collectivités...) et pour les entreprises qui traitent des données à grande échelle, ou des données « sensibles » (données génétiques, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l'appartenance syndicale). Le G29 (organisme qui fédère l'ensemble des Cnil européennes) encourage les entreprises non soumises à obligation de se doter tout de même d'un DPO, en interne ou externalisé.

25 mai 2018

À partir de cette date, les entreprises en non-conformité avec la réglementation s'exposeront à des sanctions qui dépassent de très loin le périmètre actuel de la Commission nationale de l'informatique et des libertés (Cnil). En cas de manquement, notamment au "privacy by design" (intégrer la protection de la vie privée dès la conception) et au "privacy by default" (garantir le plus haut niveau de protection des données), les contrevenants risquent de payer une amende s'élevant à 10 millions d'euros ou, dans le cas d'une entreprise, à 2% du chiffre d'affaires annuel mondial. Ils encourent jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial pour manquement aux droits des personnes (portabilité, rectification, opposition, limitation, droit à l'oubli...)

Fin des obligations déclaratives

Cette mise en marche forcée des acteurs traitant des données personnelles, sous peine de sanctions d'une ampleur inédite, vise aussi à alléger les formalités administratives. Le RGPD supprime les obligations déclaratives. En revanche, les structures de plus de 250 salariés (et celles de moins de 250 salariés mais dont le traitement de données peut avoir des répercussions sur la vie privée) doivent mener une étude d'impact sur la vie privée (EIVP) et tenir à jour en permanence un registre de traitement qui pourra être demandé par la Cnil en cas de contrôle.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 01/04/2018 à 7:40 :
tout ceci reste encore très flou pour les obligations des entreprises.
J'ai une entreprise de 55 salariés qui travaille dans le B2B, les fichiers de données de nos clients (nom, prénom, genre, fonction, tel mail et fonction) ne sont diffusées à personnes d'autres que nos propres salariés quand ils en ont besoin (pour les contacts sur affaire) idem pour les fournisseurs. je ne vois donc pas bien ce que je peux faire.
les données stockés dans un ERP ne sont accessibles que par mot de passe sur serveur protégé.
Restent les données des salariés que l'état nous impose d'avoir (situation de famille, état civil, nb d'enfants à charge, situation de handicap...) . beaucoup plus d'info sensibles que nous devons avoir pour gérer une entreprise et qui, elles, rentrent parfaitement dans le sujet de la RGPD... mais la seule protection des données sur un serveur dédié est-elle suffisante? toute extraction pour usage dans le cadre de l'entreprise et dont je garde un tableau xls dans mon ordinateur...??? cette loi semble interdire cela... mais alors comment travailler sur, par exemple, un plan de licenciement économique qui exige de traiter ces données dans les critères pondérés des priorités de maintien dans l'emploi...?
un vrai casse tête en perspective...
les lois universelles qui visent les gros sans scrupule risquent de faire crever les petits, droits dans leurs bottes et qui ne jouent pas avec l'intimité des gens...
dur dur
a écrit le 01/04/2018 à 7:36 :
tout ceci reste encore très flou pour les obligation des entreprises.
J'ai une entreprise de 55 salariés qui travaille dans le B2B, les fichiers de données de nos clients (nom, prénom, genre, fonction, tel mail et fonction) ne sont diffusées à personnes d'autres que nos propres salariés quand ils en ont besoin (pour les contacts sur affaire) idem pour les fournisseurs. je ne vois donc pas bien ce que je peux faire.
les données stockés dans un ERP ne sont accessibles que par mot de passe sur serveur protégé.
reste les données des salariés que l'état nous impose d'avoir (situation de famille, état civil, nb d'enfants à charge, situation de handicap...) beaucoup plus d'info sensible que nous devons avoir pour gérer une entreprise et qui elles rentrent parfaitement dans le sujet de la RGPD... mais la seule protection des données sur un serveur dédié est elle suffisante, toute extraction pour usage dans le cadre de l'entreprise et donc je garde un tableau dans mon ordinateur...??? cette loi semble interdire cela... mais comment travailler alors sur par exemple un plan de licenciement économique qui exige de traiter ces données dans les critères pondérés des priorités de maintien dans l'emploi...
un vrai casse tête en perspective...
les lois universelles qui visent les gros sans scrupules risquent de faire crever les petits droits dans leurs bottes et qui ne jouent pas avec l'intimité des gens...
dur dur
a écrit le 24/03/2018 à 20:42 :
Je crains que ces mesures augmentent «  la valeur des données «  et provoquent des «  contre bandes «  de vente de données volées par des biais «  interdits  »
La règle n•1 : c’est un consentement «  écrit » de n’importe quel utilisateur ( quel que soit l’âge ) avant «  le stockage «  effectif sinon c’est de l’abus de confiance
Il faut prévoir des clauses spéciales pour les «  personnes fragilisées «  comme les personnes en période de deuil ou maladie ou autre , ou dépression quand la vigilance est réduite...

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :