RGPD : contrainte ou opportunité ?
Le nouveau règlement européen sur la protection des données personnelles, RGPD, est la réglementation qui change la manière
dont les organisations vont gérer les données des personnes avec qui elle interagissent (clients, prospects, employés, partenaires etc.). Il entrera en application le 25 mai 2018 et permettra à tous les pays de l’Union européenne de pouvoir s’adapter aux réalités du monde numérique, aussi bien sur le territoire européen qu’en dehors.
Un service en ligne vous a probablement invité à accepter ses nouvelles conditions générales d’utilisation, ce n’est pas anodin car il s’agit pour lui de se mettre en conformité avec le nouveau règlement sur la protection des données qu’il pourrait détenir.
La réglementation s’applique à toute organisation qui traite des données de personnes sur informatique, il suffit que l’organisation traite un nom, une adresse email, une photo ou un numéro de sécurité sociale pour qu’il soit obligé de se mettre en conformité.
Pour ce nouveau règlement, il sera obligatoire la tenue systématique d’un registre de traitements des données. Cela va impliquer de recenser et consigner tous les traitements de données personnelles au sein de l’organisation. Il est rappelé que, sont qualifiées données à caractère personnel toutes celles qui se rapportent à une personne physique identifiée ou identifiable. Le règlement européen prévoit également d’étendre la majeure partie de ces obligations aux sous-traitants.
Les objectifs de la nouvelle réforme visent à :
- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
Ainsi, pour que ces règles soient respectées, l’Union Européenne a prévu des sanctions réelles et dissuasives. La CNIL pourra infliger des amendes allant :
- Jusqu’à 20 millions d’euros pour une administration
- Jusqu’à 4% du chiffre d’affaires mondial pour une entreprise.
Le meilleur moyen est donc de respecter et d’être conforme au règlement de la protection des données personnelles. Parmi ces obligations, on peut noter :
- Les obligations structurelles que chaque organisation doit mettre en œuvre
- Les obligations propres à chaque traitement
- La collecte des données personnelles adéquates, pertinentes et limitées
- L’affichage des mentions légales lors de la collecte des données personnelles
- Avoir une base légale (consentement, contrat, etc.)
- Éviter de traiter les données sensibles, sauf autorisation légale
La CNIL et Bpifrance se sont associées pour accompagner au travers d’un guide pratique les TPE et PME dans leur appropriation du règlement européen sur la protection des données et ont mis en place un plan d’action en quatre étapes :
- Recenser vos fichiers
- Faire le tri des données
- Informer les clients et les salariés
- Sécuriser les données
Comme toute nouvelle règlementation, le RGPD peut paraître comme un ensemble de contraintes. Cependant, la mise en conformité représente un enjeu stratégique pour l’entreprise. Elle contribue à renforcer le capital confiance de la marque vis-à-vis de ses clients, prospects, partenaires, salariés.