Décryptage du Règlement Général sur la Protection des Données (RGPD)

A travers leur plateforme web, formulaire de contact, extranet, dispositif de gestion de la relation clients (CRM), de nombreuses entreprises collectent des données personnelles afin d’adapter au mieux leur service. Depuis le 25 mai 2018, elles doivent respecter le Règlement Européen sur la Protection des Données (RGPD). Ce texte vient renforcer les droits des personnes physiques au coeur d’une organisation régie par les données numériques.

Qui est concerné par le RGPD ?

Toutes les entreprises / administrations situées dans l’UE (ainsi que leurs sous-traitants) qui traitent des données dans le but de vendre des services ou des biens à des résidents européens. 

Quels changements ?

Avec le RGPD :

• les entreprises doivent expliquer clairement le processus de traitement des données afin que chacun puisse le comprendre. Dans le cas d’un formulaire par exemple, une mention doit être ajoutée pour que l'utilisateur comprenne comment ses données seront traitées et comment il peut demander leur suppression.
• Les termes utilisés doivent être assez simples pour être compris par tout un chacun. Pour les enfants, le consentement doit être recueilli auprès d’un parent / tuteur légal.
• L’utilisateur doit avoir la possibilité d’y consentir ou non. 
• Il pourra récupérer ses données afin de les stocker, les transférer d’un organisme à un autre, etc.

Exception ; les cookies servant au bon fonctionnement du site ou de l’application ne seront pas obligatoirement soumis à l’acceptation de l’internaute. La question à se poser avant tout traitement de données : “ces données sont-elles indispensables à mon activité ?”.

Quelles nouvelles responsabilités pour les entreprises ?

 
Les entreprises doivent veiller à récolter le minimum de données dès la conception de leur produit. Les responsables des traitements doivent être en mesure de prouver les précautions prises pour sécuriser les données personnelles. Pour cela, ils doivent selon les cas :

• mettre en place un registre des traitements des données (finalité du traitement des données, personnes concernées, destinataires, lieu de destination, période de conservation des données, mesures de sécurité que l’entreprise a prise pour sécuriser les données).
• informer les personnes en cas de problème de sécurité dans les 72h ;
• prouver leur conformité grâce à des certifications ou des labels obtenus par des organismes agréés (optionnel) ;
• établir des codes de conduite approuvés par la CNIL ;
• désigner un délégué à la protection des données (obligatoire pour le secteur public, les entreprises qui traitent des données régulièrement à grande échelle, les entreprises traitant des données sensibles) ;
• faire des études d’impact sur la vie privée pour les données sensibles.

Quelles sanctions en cas de non-respect du RGPD ?

Tout d’abord, il est important de savoir qu’en cas de litige, c’est l’entreprise qui doit fournir la preuve du consentement de la personne.
En cas de non-respect du règlement, les entreprises pourront :

• recevoir un avertissement ;
• être mises en demeure ;
• voir leur traitement de données limité voire interdit ;
• voir leur processus de récupération des données suspendu ;
• régler les contentieux par indemnisation, rectification, effacement des données….
• perdre leur certification de protection des données

Le montant de l’amende se situe entre :

• 2% du chiffre d’affaire annuel mondial ou 10 millions d’euros pour les violations des principes de base (Privacy By Design, Privacy by Default…) ;
• 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros en cas d’infraction critique. 

Dans tous les cas, le montant le plus élevé sera choisi. 

Pour aider les entreprises, la CNIL a mis en place un Guide de la sécurité des données personnelles, disponible sur ce lien. 

Source : Règlement Européen sur la Protection des Données, ce qui change, CNIL.