GDPR, RGPD, quels jolis noms…

La GDPR (General Data Protection Regulation, en français RGPD) est l’acronyme de la nouvelle réglementation européenne qui concerne la protection des personnes physiques vis-à-vis du traitement des données à caractère personnel ainsi que la libre circulation de celles-ci.

Ce règlement européen a été publié le 4 mai 2016. La GDPR sera applicable et obligatoire dans l’ensemble des États membres de l’Union Européenne dès le 25 mai 2018.


Pourquoi une nouvelle réglementation ?

Dans le but de réformer la directive vieillissante sur la protection des données (95/46/EC) de 1995, les délégations de la Commission européenne, du Parlement européen et du Conseil européen ont travaillé ensemble à la création d’un nouveau règlement : la GDPR.

Les quantités de données échangées chaque jour ont drastiquement augmenté, les types d’informations ont quant à eux bien changé et les moyens d’échanges se sont multipliés. Le Big Data est d’ailleurs l’exemple le plus flagrant de cette évolution. Tous ces facteurs étaient autant de raisons de remplacer l’ancienne directive. Celle-ci n’était plus du tout adaptée à ces échanges quotidiens, surtout à l’air où le digital est omniprésent.

L’objectif de cette nouvelle réglementation vise donc à renforcer et à unifier la protection des données des individus au sein de l’Union européenne (harmonisation de la réglementation).

Par extension, la GDPR vise à remettre aux mains des citoyens le contrôle de leurs données personnelles tout en augmentant leur niveau de protection.


Qui est concerné par la GDPR ?

La réponse est simple : Absolument toutes les entreprises qui récoltent et traitent les données de personnes physiques situées sur le territoire de l’Union Européenne sont concernées.

Et ce, sans tenir compte du lieu de traitement de ces données. Par ailleurs, cela ne se limite pas aux responsables directs du traitement: les sous-traitants sont également concernés par la réglementation.

À noter que cette réglementation ne s’applique pas uniquement aux entreprises qui recueillent des données grâce à un canal digital. Elle s’applique à toutes les activités de traitement de données liées à l’offre de biens ou de services (gratuits ou non) à des individus résidents dans l’Union Européenne.


Les principaux changements clés de cette réforme

Même si les principes de base de la réglementation initiale persistent, de nouveaux éléments font leur apparition :

Une réglementation unique

En plus de s’appliquer à tous les états membres de l’Union Européenne, la réglementation passe les frontières de l’Europe. Les entreprises établies en dehors de l’Union Européenne qui traitent des données relatives aux organisations et/ou aux résidents de celle-ci doivent également appliquer la GDPR.

L’individu reprend le contrôle de ses données personnelles

Par le biais de cette réforme, les individus bénéficient de 3 droits majeurs sur leurs données personnelles:

  • Le droit d’accéder à ses données

Ainsi, chaque personne a le droit de savoir si ses données sont analysées, où elles le sont et pourquoi elles le sont (finalité poursuivie). De plus, le responsable du traitement est tenu de fournir une copie des données, gratuitement, dans un format électronique.

  • Le droit à l’oubli

Chaque personne peut exiger que ses données soient supprimées mais aussi, à ce qu’elles ne soient plus diffusées et traitées. Cette demande pouvant être justifiée par le simple fait que l’on retire son consentement ou encore que les données soient obsolètes ou non-pertinentes. Par exemple : La suppression d’un contenu, d’un commentaire ou d’un profil sur un site internet.

  • Le droit à la portabilité des données

Enfin, chaque individu peut demander à recevoir l’ensemble de ses données personnelles dans un format informatique lisible par tous afin de les transmettre à un autre responsable de traitement. Par exemple : Le transfert de données personnelles lors d’un changement de banque, de réseau social, d’opérateur téléphonique, de commerçant,…

Vous l’aurez compris, l’ensemble de ces droits ne doit pas être oublié dans le cadre de démarches marketing ou de toute relation commerciale.

Un niveau de sécurité renforcé

  • La protection des données dès la conception

Cette notion impose aux organisations de répondre à certaines exigences relatives à la protection des données personnelles et ce, dès la conception des produits, services et systèmes exploitant ces données.

  • La sécurité par défaut

Quant à cette notion, elle impose à toute organisation de disposer d’un système d’information sécurisé.

Notification en cas de fuite de données

L’autorité nationale de protection (en Belgique, la Commission de Protection de la Vie Privée ) CPVP) doit être avertie en cas de fuite grave de données.

Nomination d’un délégué à la protection des données

Un délégué à la protection des données (DPO) doit être nommé au sein des organismes publics ou privés dont les activités de base nécessitent un suivi régulier et systématique à grande échelles des personnes. Ce délégué (qui peut être un membre du personnel, à condition qu’il soit indépendant du responsable des finalités du traitement des données, ou bien un externe) est chargé de contrôler le respect du règlement par l’entreprise et les interventions d’éventuels sous-traitants, de conseiller le responsable des traitements et d’être le point de contact avec l’autorité de contrôle.

Des évaluations de risques avant de lancer un produit / service

Avant chaque activité pouvant avoir des conséquences importantes sur la protection des données personnelles, une évaluation d’impact est réalisée. Celle-ci prévoit également les mesures pour réduire l’impact des dommages potentiels sur les données.

De lourdes sanctions pour les fraudeurs

Toutes les entreprises ou organismes qui ne respectent pas les règles de la GDPR s’exposent à des sanctions pouvant aller du simple avertissement à l’amende jusqu’à 20 000 000€ ou, pour les entreprises dépassant 500 m€ de CA, jusqu’à de 4% du chiffre d’affaire annuel.

Le comité européen de la protection des données

Création d’un comité européen. Celui-ci fait figure d’autorité dans tout ce qui concerne l’interprétation de la réglementation.


Pourquoi respecter cette nouvelle réglementation générale sur la protection des données ?

Comme toutes les réglementations, la GDPR engendre des pénalités en cas de non-respect. Ainsi, les entreprises peuvent se voir infliger différentes sanctions en fonction de l’infraction :

  • Un simple avertissement si c’est la première fois ou que la faute est non-intentionnelle
  • Des audits périodiques peuvent être réalisés au sein de l’entreprise afin de s’assurer que celle-ci continue de respecter la réglementation
  • Une amende allant jusqu’à 10 000 000€ ou 2% du chiffre d’affaire annuel
  • Une amende allant jusqu’à 20 000 000€ ou 4% du chiffre d’affaire annuel

En mettant de côté les sanctions financières, les entreprises peuvent également voir l’arrivée de la GDPR comme une opportunité de :

  • Documenter en interne les process de récolte, de traitement des données personnelles, en levant d’éventuelles zones d’ombre.
  • Bien (re)définir les finalités, les durées de conservation, qui en interne et en externe a accès aux données
  • Trier et mettre à jour les bases de données existantes en repérant les doublons et les données obsolètes, permettant ainsi de valoriser les données existantes
  • D’adopter de bonnes pratiques d’information et de relation avec les prospects et clients (transparence sur les finalités, exercice des droits de communication, rectification, suppression, oubli, exportation).

Cet article est un essai de vulgarisation de la réglementation, avec l’objectif d’être le plus pratique possible. La plus grande attention a été apportée à sa rédaction, sans toutefois aucune garantie de conformité. Ce document ne dispense pas de consulter un conseil.


Comment respecter la GDPR ?

Retis a établi une méthodologie s’appuyant sur une feuille de route pour accompagner toutes les sociétés soucieuses de respecter la nouvelle réglementation générale sur la protection des données. C’est ensemble que nous analyserons les différents points d’attention pour vous préparer à la mise en conformité de votre entreprise à ce Réglement lors de son entrée en vigueur en mai 2018.

Contactez-nous pour plus d’informations


Ce qu’il faut retenir sur la GDPR

  • À partir du 25 mai 2018, la nouvelle réglementation devient obligatoire. Il faut donc être en règle. Des sanctions allant jusqu’à 20 000 000€ ou 4% du chiffre d’affaire peuvent être infligées
  • Une seule réglementation pour tous les états membres de l’Union Européenne
  • La GDPR s’applique aussi pour les entreprises établies en dehors de l’Union Européenne qui traitent les données personnelles de résidents européens.
  • La protection des données personnelles et la transparence sur l’usage seront améliorées
  • Les individus auront davantage de contrôle sur leurs données personnelles