Adopté en avril 2016 par le Parlement européen, le RGPD (Règlement Général sur la Protection des Données) doit entrer en vigueur mi-2018. Uniformisant tous les textes préalablement en vigueur dans l’UE, il prévoit des sanctions alourdies pour les entreprises qui ne respectent pas à la lettre ses principes. Voici 10 questions à se poser pour bien le comprendre.
1) Qu'est-ce que le RGPD ?
Le RGPD (GDPR en anglais) est l’acronyme de Règlement Général sur la Protection des Données. Ce texte propose un renforcement de la protection des citoyens européens et de leurs libertés fondamentales dans un monde toujours plus digitalisé. Ce renforcement passera par une uniformisation des règlementations et des sanctions au niveau européen.
2) Dans quelle mesure les sanctions prévues sont-elles renforcées ?
Il s’agit peut-être de la mesure la plus connue du règlement, car elle fait peur. Des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires réalisé par les entreprises fautives (la somme la plus élevée étant retenue) pourront être appliquées.
En parallèle de cette sanction financière, l’autorité pourra mettre en œuvre des mesures visant à protéger les droits des personnes : mises en demeure, limitation d’un traitement de données, suspension de flux de données, ordre de rectifier ou effacer des données
3) Quelles autres nouvelles obligations pour les entreprises ?
En parallèle d’une mise aux normes de leurs processus et systèmes, les entreprises devront remplir de nouvelles formalités afin de pouvoir justifier des traitements de données réalisés :
- Tenue d’un registre des traitements mis en œuvre
- Certification de traitements
- Adhésion à des codes de conduite
- Nomination d’un DPO (Data Protection Officer)
- Réalisation d’études d’impact sur la vie privée (PIA – Privacy Impact Assessment)
4) Quand le RGPD entrera-t-il en vigueur ?
Le compte à rebours a démarré. Le RGPD entrera en vigueur le 25 mai 2018. Il ne reste donc plus que quelques mois aux entreprises pour se mettre en conformité avec le texte. Peu d’entreprises françaises sont actuellement à jour avec de dernier. Le règlement se substitue à la Loi Informatique et Libertés du 6 janvier 1978.
5) Qui est concerné ?
Le RGPD s’appliquera chaque fois qu’un citoyen résidant en Union Européenne sera visé par un traitement de données. Le règlement précise également la responsabilité partagée des sous-traitants de données.
6) En quoi le règlement renforcera-t-il le droit des personnes ?
Tout traitement de données nécessitera le consentement de la personne : une information claire et intelligible devra informer le citoyen sur l’usage qui sera fait de ses données. Cette information permettra au citoyen de donner son consentement (et également de revenir dessus). Le responsable du traitement devra pouvoir fournir la preuve de ce consentement.
Le citoyen disposera en outre d’un droit à la portabilité de ses données : il devra pouvoir les récupérer sous un format facilement réutilisable et ainsi les transférer à un tiers s’il le souhaite. Un droit à l’oubli est également prévu : le citoyen pourra demander à ce que ses données soient effacées.
Enfin, des actions collectives pourront être intentées contre les organismes traitant la donnée. Les citoyens auront droit à réparation des dommages et préjudices subis.
7) Le règlement prévoit-il des dispositions particulières pour les mineurs ?
Des dispositions particulières sont prévues pour les moins de 16 ans : les termes utilisés afin de recueillir le consentement devront être compréhensibles par le mineur et le consentement devra être recueilli auprès de l’autorité parentale.
8) Le RGPD renforce-t-il les notifications relatives aux violations de données personnelles ?
Oui. Toute faille de sécurité exploitée par des pirates et donnant lieu à une violation de données personnelles devra être notifiée à l’autorité de protection des données dans les 72 heures suivant l’intrusion. Les personnes victimes de cette violation de données devront également être informées dès lors que la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.
Plus globalement, la protection des données devra être prévue dès la conception des systèmes d’information. On parle de « Privacy by design » : les mesures techniques et organisationnelles essentielles au respect des données personnelles devront être anticipées. L’entreprise devra par ailleurs limiter la quantité de données traitées.
9) La formalités CNIL demeureront-elles ?
Le règlement prévoit d’alléger les formalités administratives des acteurs, en contrepartie d’un accroissement de leur responsabilisation. Les formalités actuelles auprès de la CNIL ne seront plus nécessaires à quelques exceptions près. Une entreprise devra pouvoir démontrer sa conformité avec le règlement à tout moment. On parle dans ce cas du principe « d’accountability ».
10) La mise en conformité avec le RGPD va-t-elle coûter cher ?
Tout dépend de la situation de départ, de la rigueur de l’entreprise, et de la complexité des données manipulées. Un audit initial peut être conduit en 3 semaines. Cette phase permettra ensuite de déterminer le plan d’action approprié. La mise en conformité peut ensuite prendre plusieurs mois, avec des impacts importants sur les processus internes et les systèmes.
Ces formalités dépendront du type d’entreprise et des traitements de données réalisés (secteur privé ou public, traitement de données à risque…).
Dans la lignée de la Loi Informatique et Libertés de 1978, le RGPD va forcer les entreprises à une mise en conformité rapide. Ce chantier peut coûter cher mais doit être considéré comme une véritable opportunité : Le RGPD doit être l’opportunité de faire le point sur le capital Data de l’entreprise, de recenser les données existantes et d’identifier des usages marketing nouveaux. Eparpillées, les données des entreprises contiennent parfois de véritables trésors inexploités qu’un audit peut mettre à jour. La réflexion sur les processus que le RGPP exige peut aussi avoir un impact considérable sur la qualité de la données, un point qui laisse souvent à désirer. Si le projet est bien mené, les clients et prospects devraient aussi bénéficier de communication mieux ciblée.
Espérons que les sociétés sauront saisir ces opportunités sans plus attendre et ne joueront pas avec le temps, faute de quoi elles risqueraient de figurer parmi les premières sanctionnées par le RGPD en 2018.