webleads-tracker

RGPD

 

Tout ce qu’il faut savoir des défis & enjeux du RGPD quand on est une PME

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (ou RGPD) est un texte de loi européen adopté en avril 2016. Il porte sur la protection des données à caractère personnel et tend ainsi à protéger la vie privée des citoyens et internautes européens.

Ce règlement vient renforcer les dispositions de la CNIL datant de 1995 (loi informatique et libertés) concernant la protection des données personnelles.

En d’autres termes, toute entité en charge du traitement de données à caractère personnel est aujourd’hui dans l’obligation d’être en conformité avec les dispositions prévues par le RGPD.

Entrée en vigueur depuis le 25 mai 2018, cette réforme s’inscrit notamment dans un contexte de transformation profonde liée à l’adoption croissante du numérique par les citoyens.

Qu’est-ce qu’une donnée à caractère personnel ?

Au sens de la loi, une donnée à caractère personnel est une donnée permettant d’identifier directement ou indirectement une personne physique.

Nom, prénom, email nominatif, numéro de sécurité sociale, adresse IP sont entre autres des informations considérées comme étant des données personnelles.

Les objectifs et enjeux du RGPD

L’objectif principal du RGPD est de redonner aux citoyens le contrôle sur leurs données personnelles et d’uniformiser l’environnement règlementaire des entreprises.

Concrètement, cela signifie que chaque entreprise doit s’assurer que les moyens qu’elle utilise pour collecter, traiter, utiliser et archiver les données sont conformes aux dispositions prévues par le RGPD.

Les principales dispositions du RGPD

Afin d’améliorer la protection de leurs données personnelles, le RGPD octroie différents droits aux citoyens européens :
.

  • Le droit à l’accès et le droit à l’information : les utilisateurs peuvent demander un accès à leurs données personnelles et connaître l’usage qui en est fait. Ils doivent également être informés de toute collecte les concernant et communiquer leur consentement de manière explicite quant à l’utilisation des données collectées.
  • Le droit à l’oubli (ou droit à l’effacement) : à tout moment, l’utilisateur doit pouvoir retirer son consentement et ainsi s’opposer à l’utilisation de ses données.
  • Le droit à la limitation du traitement : l’utilisateur peut préciser les cas pour lesquels il accepte que ses données soient utilisées.
  • La portabilité des données : l’utilisateur doit également pouvoir récupérer ses données afin que celles-ci soient réutilisées par un autre fournisseur de service.
  • Profilage : les droits des citoyens relatifs au traitement automatisé des données personnelles sont également renforcés par le RGPD.
    .

Par ailleurs, la durée de conservation des données doit être limitée et doit tenir compte des potentielles obligations légales à conserver certaines données. A titre d’exemple :
.

  • Les coordonnées d’un prospect inactif doivent être supprimées au bout de 3 ans
  • Les données figurant dans un dossier médical doivent quant à elle être conservées pendant 10 ans.

Qui est concerné par le RGPD ?

Sont concernés par le RGPD : toute entreprise exerçant une activité dans la zone UE, ainsi que tout serveur qui stocke des données personnelles dans cette même zone UE.

A partir du moment où vous traitez des données personnelles de citoyens européens à titre professionnel, le RGPD s’applique et vous devez :
.

  • Vous assurer de ne collecter que des données véritablement pertinentes, et ce, de manière loyale
  • Etre transparent dans le traitement des données – vous avez une obligation d’information et de conseil vis-à-vis des personnes concernées
  • Demander le consentement des personnes concernées
  • Mettre en place toutes les mesures nécessaires afin de protéger les données
  • Ne pas réaliser de transfert des données hors de l’UE
  • Tenir un registre des traitements de données et nommer un délégué à la protection des données (DPO) – dispositions obligatoires pour les entreprises de plus de 250 salariés –
  • Effectuer des analyses préalables d’impact aux traitements des données personnelles afin de gérer en amont les risques éventuels lors de traitement (fuite de données…)

Quelles conséquences en cas de non-respect de la règlementation ?

A compter du 25 mai 2018, le non-respect à l’une des obligations du règlement européen peut engendrer des sanctions lourdes de conséquences pour l’entreprise ou l’organisme fautif.

Le RGPD prévoit en effet des pénalités extrêmement dissuasives :µ
.

  • Jusqu’à 10 M€ ou 2% du chiffre d’affaires annuel mondial pour des manquements au Privacy by Design, Privacy by Default, en matière de PIA…
    .
  • Jusqu’à 20 M€ ou 4% du chiffre d’affaires mondial en cas de non-respect aux droits des personnes (droit d’accès, de rectification, d’opposition, de suppression…).
    .

Dans chacun des cas, le montant le plus élevé est celui pris en compte. En France, c’est la CNIL qui est chargée de l’application des sanctions.

Pour résumer

Si le RGPD est aujourd’hui dans les esprits de beaucoup d’entreprises, son application peut toutefois s’avérer plus complexe tant son champ d’action est large.

Une gouvernance des donnés conforme à la règlementation nécessitera des efforts d’une ampleur proportionnelle à la hauteur des sanctions prononçables par les autorités de contrôle.

En effet, connaître et maîtriser son patrimoine de données est un travail constant et exigeant. Il est essentiel de s’emparer dès à présent des dispositions et d’anticiper les efforts à fournir pour assurer sa conformité telle qu’elle est prévue par le RGPD.

Découvrez nos autres articles

Archipelia concourt au Deloitte Technology Fast 50 Nord 2017

  Archipelia figure cette année encore parmi les entreprises du Nord ayant réalisé une forte croissance de leur chiffre d'affaires. La société est donc éligible à la 17ème édition du Deloitte Technology Fast 50 Nord et concourt dans la catégorie "Logiciels et Services...

lire plus