A compter du 25 mai 2018, les entreprises européennes et les acteurs publics collectant et traitant des données relatives à leurs clients, consommateurs, usagers ou encore prospects seront dans l’obligation de suivre le Règlement européen pour la protection des données : RGPD. Qu’est-ce que le RGPD ? Quelle est sa finalité ? Que prévoit la loi en cas de non respect ? Nos réponses.
Le RGPD, c’est quoi ?
Le Règlement Général pour la Protection des Données (RGPD) – General Data Privacy Regulation en anglais – est un nouveau règlement européen adopté par le Parlement européen le 4 avril 2016. Il sera toutefois applicable qu’à partir du 25 mai 2018. Dès lors, toutes les entreprises exerçant sur le sol européen devront obligatoirement suivre les différentes obligations qui en émane. Même son de cloche pour les acteurs de la sphère publique.
Le RGPD a pour finalité de protéger l’ensemble des données personnelles des individus collectées par les entreprises.
A travers cette nouvelle réglementation, l’UE vise à renforcer le droit des personnes tout en responsabilisant les entreprises. La protection des données personnelles est un vieux serpent de mer. Nombreuses sont les associations de consommateurs qui se sont plaintes du traitement et de l’utilisation faite de telles données : nom, numéro de téléphone, email, âge, profession, centres d’intérêts…L’établissement d’un nouveau code de conduite s’imposait d’autant plus que le Big Data, l’Intelligence artificielle ou encore le cloud sont en plein essor.
Le RGPD renforce ainsi notamment le droit à l’oubli et instaure une nouvelle obligation : le droit à la portabilité des données. Il s’agit de la possibilité pour tout citoyen européen le réclamant de récupérer l’intégralité de ses informations personnelles afin de pouvoir exercer un contrôle. D’autres droits sont par ailleurs instaurés tels que le droit à la réparation des dommages moraux ou encore le droit aux recours collectifs.
Ce que devront mettre en place les entreprises
5 règles principales émanent du RGPD, 5 règles à suivre pour toute entreprises exerçant une activité sur le sol européen :
- le droit à l’effacement
- l’accès de l’utilisateur à ses données
- le consentement du consommateur dans la collecte et le traitement de ses données
- la désignation d’un délégué à la protection des données (DPO)
- le Privacy by design
Le Privacy by design est un principe phare du RGPD selon lequel tout projet de création d’activité doit intégrer dès ses toutes premières phases une protection des données personnelles renforcées. Le cahier des charges d’un site e-commerce par exemple devra donc obligatoirement prévoir un volet de sécurisation et de protection accrues des données des utilisateurs, clients, visiteurs.
En trame de cette obligation, on trouve une nécessité : renforcer la sécurité des entreprises. La cybersécurité en l’occurrence. Les dernières révélations de Über concernant le vol des données de plusieurs millions de ses clients dont les informations bancaires motivent en grande partie les institutions à demander aux entreprises et acteurs publics de mettre en place un niveau de sécurité plus élevé.
Quant à l’obligation du droit à l’effacement, dès lors qu’une personne demandera à ce que ses données personnelles soit effacées des bases de données, les entreprises et acteurs publics disposeront d’un délai maximal de 30 jours pour les supprimer. Aussi, ce droit devra obligatoirement être notifié clairement.
D’autres nouvelles obligations existent : la tenue d’un registre des activités de traitement, la notification des violations des données ou encore la conduite des analyses d’impact.
Chaque entreprise devra donc mettre en place une politique de protection des données renforcée, pilotée par le DPO, et donner un accès plus simple aux informations personnelles. Tout en donnant également la possibilité de les supprimer dans un court délai.
Sachez enfin que les sanctions en cas de non-respect du RGPD sont lourdes puisque les amendes peuvent représenter de 2% à 4% du CA annuel et atteindre dans certains plusieurs millions d’euros.