Nouvelle réglementation européenne sur la protection des données (RGPD)

Ce qui change pour votre entreprise

  • Générer en PDF
  • Suggérer

Le Règlement Général Européen sur la Protection des Données Personnelles (RGPD) n° 2016/679 du 27 avril 2016 entre en vigueur le 25 mai 2018

Il pose un nouveau cadre harmonisé pour la protection des données personnelles au sein de l’UE.

Dès lors, le règlement remplacera la Loi Informatique et Libertés actuellement en vigueur en France.

Ce nouveau règlement poursuit trois objectifs :

  • Uniformiser au niveau européen la réglementation sur la protection des données
  • Responsabiliser davantage les acteurs traitant des données en développant l’auto-contrôle (responsables de traitement et sous-traitants)
  • Renforcer le droit des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.)

Plus largement, le RGPD a pour ambition de "redonner aux citoyens européens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises" . En France, sa mise en œuvre est placée sous l’autorité de la CNIL.

Qui est concerné ?

Les entreprises, sous-traitants, associations et organismes publics collectant, exploitant ou stockant des données à caractère personnel sur les résidents de l'UE.

A noter que le règlement s’applique également aux entreprises non implantées en UE, dès lors qu’elles collectent et traitent des données personnelles sur des résidents de l’UE.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est "toute information se rapportant à une personne physique identifiée ou identifiable". Par personne physique identifiable, il faut comprendre "une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, prénom, numéro d’identification, téléphone, email, des données de localisation, une adresse IP, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale".

Le RGPD concerne uniquement la protection des données personnelles rattachées à des personnes physiques. Ce qui signifie qu'il ne s’applique pas aux entreprises ne traitant que des données relatives à des personnes morales, sauf si celles-ci sont amenées à collecter des données sur les représentants légaux des personnes morales.

Ce qui signifie que la collecte de données sur des représentants légaux d’une société entre dans le champ d’application du règlement. En revanche, la collecte d’informations sur l’entreprise (dénomination sociale, objet social, numéro de TVA, SIRET, etc.) en est exclue.

Le traitement des données personnelles désigne la collecte, l’accès, le stockage, la manipulation, la destruction et la consultation à distance des données. Par exemple, dans le cadre d’une campagne de communication, remplir un formulaire est considéré comme un traitement de données personnelles

Quelles sont les principales mesures du RGPD ?

  • Droit au consentement clair : autorisation explicit, la règle est qu'il vous faut toujours être en mesure de prouver que la personne a donné son consentement,
  • Respect de la vie privée : étude d’impact pour les risques élevés sur la vie privée,
  • Transparence : droit de savoir à quoi servent ses données,
  • Profilage : droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé,
  • Possibilité de désabonnement : désabonnement possible à tout moment,
  • Droit à l’oubli : Possibilité de réclamer la suppression de ses données,
  • Contact inactif : tout contact inactif depuis plus de 3 ans doit être retiré des traitements,
  • Droit à la portabilité : Possibilité d’exporter directement ses données.

Pour les entreprises, le texte va entrainer des changements majeurs dans l’approche de la relation clients !
Le plus significatif est sans doute la nécessité d’obtenir le consentement exprès de toute personne concernée par la conservation ou le traitement de ses données personnelles, y compris dans le cadre professionnel (fonction dans l’entreprise, numéro de téléphone professionnel, etc.).

Par conséquent, les modalités de mise en œuvre du RGPD vont nécessiter de la part des entreprises un autodiagnostic des pratiques (état des lieux des traitements existants, suppression des traitements inutiles, mise à niveau des mentions obligatoires d’information sur les document …..)

Comment se mettre en conformité ?

1/ Nommer un pilote : le Délégué à la Protection des Données (DPO)

Il est obligatoire si :

  • vous êtes un organisme public,
  • vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et à des infractions.

 2/ Cartographier vos traitements de données personnelles

Commencez par recenser de façon précise les traitements de données personnelles que vous mettez en œuvre.

 3/ Prioriser les actions à mener sur le registre des traitements

Sur la base du registre des traitements de données personnelles, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

 4/ Gérer les risques en réalisant une étude d’impact sur la protection des données

Réalisez une analyse d’impact sur la protection des données pour les traitements des données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.

 5/ Organiser les processus internes

Mettez en place des procédures internes qui garantissent la protection des données à tout moment,

en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données personnelles. Cela permet d’éviter les failles de sécurité, de prévoir la gestion des demandes d’accès aux données et la vérification ou la modification de celles-ci.

En cas de violation de données à caractère personnel, l’entreprise doit communiquer à la CNIL les fuites de données dans un délais maximal de 72 heures à compter du moment où elle en a connaissance.

6/ Documenter la conformité

Afin de prouver votre conformité, constituez et regroupez la documentation nécessaire permettant de démontrer que le traitement de données personnelles est conforme au règlement (registres, analyses d’impact, recueils, contrats, preuves de consentement, etc.).

Quels risques en cas de non-respect du RGPD ?

En cas de non-conformité, les sanctions portent sur différents niveaux :

  • Financier : jusqu’à 20 M€ (ou 4% du CA annuel global) 
  • Pénal : toute personne ayant commis une infraction pénale jusqu’à 5 ans d’emprisonnement 
  • Civil : dommages et intérêts en cas de recours en justice 
  • Organisationel / administratif : suspension ou interdiction de poursuivre le traitement des données 
  • Sociétal : perte de confiance des partenaires, perte de crédibilité, etc…
  • Atteinte à l’image : avertissement public par l’autorité de contrôle