Le RGPD génère de plus en plus d’articles et de recherches sur le net. L’utilisation et la visibilité du terme RGPD montent en puissance jour après jour. Un petit tour par le site de Google Trends fin décembre 2017 nous en donne confirmation avec un net décollage net à partir de l’été 2017 :
Qu’est-ce que le RGPD?
Le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation en anglais (GDPR) adopté en avril 2016, est un règlement européen, qui par définition sera applicable directement dans l’ensemble des pays de l’Union européenne (UE), sans nécessiter de transposition, contrairement aux directives.
Ce règlement qui entrera en vigueur à partir du 25 mai 2018, a pour objectif d’offrir aux citoyens des Etats membres de l’UE de meilleures garanties de sécurité et un plus grand contrôle sur leurs données personnelles et ce pour faire face à un constat évident : de plus en plus d’informations à caractère personnel sont collectées et disponibles publiquement à un niveau mondial.
Le RGPD se matérialise par 99 articles répartis dans 10 chapitre (le 11ème chapitre traite de sujets annexes comme l’abrogation de la directive de 1995, le lien avec les accords conclus antérieurement au règlement, etc…)
Le RGPD c’est aussi une introduction composée de 173 considérants. Le premier considérant rappelle immédiatement que « La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental […] toute personne a droit à la protection des données à caractère personnel la concernant ».
Attention ! Si le RGPD consacre le droit à la protection des données personnelles, le considérant numéro 4 précise cependant que ce droit n’est pas un droit absolu et qu’il « doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité ».
Pour résumer, Le RGPD vise à donner aux consommateurs plus de contrôle sur les données qui les concernent et leur permet d’être informé sur la manière dont elles sont utilisées.
Quelles sont les entreprises concernées par le RGPD ?
Le RGPD s’appliquera à toutes les entreprises traitant des données personnelles de citoyens européens – qu’elles soient européennes ou non.
Afin de ne pas pénaliser les micros, petites et moyennes entreprises, Le règlement prévoit une dérogation pour les organisations ayant moins de 250 employés en les exonérant de la tenue d’un registre des traitements.
Quelles sont les personnes concernées par le RGPD ?
Le RGPD a pour objectif de mieux protéger les données personnelles. L’article 4 du RGPD définit les données personnelles comme toute information concernant une personne physique identifiée ou identifiable, soit directement soit indirectement « notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »
La protection concerne uniquement les personnes physiques. Le considérant numéro 14 précise que Le règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.
Quelles sont les obligations des entreprises ?
- Si vous êtes une entreprise ou un organisme qui collecte, traite et stocke des données personnelles de résidents de l’UE, plusieurs obligations s’imposent à vous, en particulier :
- La nomination (obligatoire sous certaines conditions) d’un délégué à la protection des données (DPD) ou Data Protection Officer (DPO).
- La mise en place d’une organisation humaine permettant de garantir la protection des données personnelles.
- La mise en place de procédures documentées permettant de garantir, par défaut ou dès la conception des produits et services, la protection des données personnelles.
- La mise en place de procédures documentées permettant de répondre aux requêtes formulées par les particuliers
- La mise en conformité des traitements pour limiter les risques
- Le droit à la portabilité (pour faciliter le changement d’opérateur – par exemple changer de banque)
- Solliciter un consentement explicite de la part des clients pour collecter des données sur eux.
- Identifier les processus impliqués dans le traitement des données personnelles
- Réaliser des analyses d’impact sur la protection des données (PIA / Privacy Impact Assessment)
- En cas de vol de données personnelles, notifier dans les 72 heures au plus tôt l’autorité de protection nationale et éventuellement les individus concernés.
- …
Quelles sanctions en cas de non-respect du RGPD ?
Les nombreuse contraintes imposées par le RGPD sous-entendent la mise en place d’une organisation pour y répondre. En cas de non-conformité, les entreprises peuvent faire l’objet de sanctions financières lourdes (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial).
Au-delà de la sanction financière, il convient de tenir compte de l’impact colossal que peut avoir le manque de maîtrise des données sur l’image et la réputation de l’entreprise.
[Suite…]
Rédoine BILLAUD – 01/02/2018