RGPD en 2018 : êtes-vous prêt ?

Accueil / Site internet / RGPD en 2018 : êtes-vous prêt ?

Le passage à la nouvelle année est l’occasion d’aborder une des nouveautés de 2018, à savoir la mise en place obligatoire du RGPD pour les entreprises au risque de s’exposer à de lourdes sanctions.

RGPD, qu’est-ce que c’est ?

Le RGPD, c’est le Règlement Général sur la Protection des Données. En anglais, GPDR alias General Data Protection Regulation. Encore un acronyme à retenir ! Plus sérieusement, c’est une loi entrée en vigueur le 25 mai 2016, visant à sécuriser les données personnelles des résidents de l’Union Européenne.

La France a été un des pionniers dans ce domaine, au travers de la loi Informatique et Liberté de 1978 pour commencer, et la fameuse CNIL. De nombreuses initiatives sont venues renforcer ce dispositif, dont la LCEN (Loi pour la Confiance dans l’Economie Numérique) ou plus récemment la Loi République Numérique.

Il était temps qu’un cadre législatif Européen émerge dans ce domaine et vienne harmoniser l’ensemble des mesures de chaque état membre, prises pour protéger les ressortissants de l’Union Européenne en matière de protection des données personnelles. C’est chose faite avec le RGPD.

Sur quoi porte cette protection ?

Cette loi vise à renforcer non seulement les droits des personnes dont les données personnelles sont détenues par des tiers, mais aussi les obligations de ces tiers détenteurs.

D’une manière générale, une donnée personnelle peut être définie comme toute information, sensible ou non, permettant d’identifier une personne physique, directement ou indirectement. Quelques exemples : nom, pseudonyme, identifiant, localisation, code client, numéro d’affiliation, numéro de carte bancaire …

Dans une économie hyper-connectée, il est clair que nous laissons nos données personnelles un peu partout et auprès de multiples acteurs : réseaux sociaux, sites e-commerce, administration en ligne, banque en ligne, partage de fichiers … et dans certains cas sans consentement. Il est par conséquent certain qu’à un moment ou un autre, nos données personnelles ou une partie de celles-ci vont fuiter. Le RGPD renforce les responsabilités et obligations des détenteurs de ces données, notamment au travers de lourdes sanctions dans le cas avéré d’une fuite de données de leur fait. Ces sanctions entreront en vigueur dans le cadre de cette loi à compter du 25 mai 2018.

Les sanctions prévues sont lourdes : pour les violations communes, jusqu’à 10M€ ou 2% du chiffre d’affaires annuel mondial consolidé et pour les violations majeures, jusqu’à 20M€ ou 4% du chiffre d’affaires annuel mondial consolidé, le montant le plus élevé entre les 2 cas étant retenu.

Quelles sont les implications pour les entreprises ?

Le RGPD vise donc à introduire des changements radicaux dans la manière dont les entreprises gèrent et traitent les données personnelles en leur possession, afin de renforcer la confidentialité et le contrôle de celles-ci. Le scope de cette loi est très large, puisqu’elle s’applique à toute entité détenant des données d’un ressortissent de l’UE. Autant dire qu’elle s’applique quasiment à l’échelle planétaire.

Pour faire face à ces nombreuses contraintes supplémentaires, un guichet unique sera mis à disposition des entreprises afin de faciliter leur démarche dans la mise en place de ces mesures.

Parmi les nouvelles obligations des entreprises, voici pêle-mêle les principales :

  • Nomination d’un responsable de la surveillance, documentation et enregistrement des données : le DPO (Data Protection Officer).
  • Droit d’accès par les personnes à leurs données personnelles avec obligation de réponse dans un délai maximum d’un mois sur la nature des informations collectées, leur durée de conservation, qui y a accès et les droits afférents.
  • Droit de rectification permettant aux personnes de modifier, corriger ou compléter leurs informations personnelles sur simple demande.
  • Droit de limitation permettant aux personnes de limiter les possibilités de traitement de leurs données à un domaine précis ou pour une durée de temps donnée.
  • Droit à l’oubli permettant de supprimer définitivement les données personnelles de l’individu.
  • Droit à portabilité pour toute donnée personnelles ayant fait l’objet d’un consentement préalable, à l’initiative de la personne, et même à l’extérieur de l’UE, pour peu que l’entreprise récipiendaire dispose des mêmes garanties de protection des données.
  • Encadrement du traitement des données personnelles au strict minimum.
  • Mise en place de processus techniques et organisationnels de protection des données personnelles : chiffrement, anonymisation, redondances et sécurisation.
  • Obligation de notifier l’autorité de surveillance dans les 72 heures suivant la violation de données personnelles. Pour la France, cette autorité est la CNIL.
  • Obligation de communiquer à l’ensemble des personnes concernées en cas de violation de données personnelles par le biais d’un communiqué public.
  • La tenue d’un registre des activités de traitement des données personnelles (responsable, finalités, personnes, données, mesures de sécurité …) pour les entreprises de plus de 250 personnes, ainsi que pour toute entreprise gérant des données personnelles dans le cadre de leur activité.

En bref

Avec la mise en place du RGPD, toute personne a le droit de recevoir une copie des données pour lesquelles elle a préalablement donné son consentement, de les modifier, de les transférer et de les effacer. L’entreprise a pour obligation de les communiquer dans un délai maximal d’un mois, de respecter le consentement préalable, de sécuriser les données, de restreindre et d’historiser leur traitement au minimum requis pour son activité, d’avertir publiquement de toute violation, au risque de s’exposer à de lourdes sanctions à compter du 25 mai 2018.

Recommandation

En ce qui concerne votre site internet et les données que celui-ci collecte, nous vous recommandons donc de créer une section « Vie Privée » distincte de vos conditions générales d’utilisation ou mentions légales génériques, mentionnant les informations suivantes :

  • Le responsable de la protection des données (DPO)
  • La nature des données collectées
  • Le type de traitement des données
  • Les raisons du traitement des données
  • La durée de conservation des données
  • Les entités à qui sont communiquées les données personnelles
  • Les procédures de sécurisation des données
  • Les droits de l’utilisateur par rapport à ses données
  • Procédure à suivre pour que chacun puisse vérifier les données personnelles le concernant dont vous disposez

En communiquant en toute transparence sur le sort que vous réservez aux données personnelles que vous collectez, conformément au RGPD, non seulement vous vous mettez en conformité avec cette règlementation Européenne, mais vous rassurerez aussi vos clients et utilisateurs et préserverez la réputation de votre entreprise.

Consultez l’intégralité du Règlement Général sur la Protection des Données en Français.

Ces actualités pourraient vous intéresser

Laisser un commentaire

Nos services
STRATÉGIE & COACHING DIGITAL
DISPOSITIFS DIGITAUX
HÉBERGEMENT ET INFOGÉRANCE TECHNIQUE & APPLICATIVE
INFOGÉRANCE ÉDITORIALE & GESTION DE COMMUNAUTÉS
CONSEIL & REPORTING
ITMPbonne année 2018