Partager l'article :

Présentation du RGPD, le nouveau Règlement Général sur la Protection des Données

Le RGPD (en anglais GDPR pour General Data Protection Regulation) est l’acronyme de la nouvelle réglementation européenne qui concerne la protection des personnes physiques vis-à-vis du traitement des données à caractère personnel ainsi que la libre circulation de celles-ci.

Ce règlement européen a été publié le 4 mai 2016. Le GDPR est applicable et obligatoire dans l’ensemble des États membres de l’Union Européenne depuis le 25 mai 2018.
 

Nos formations pratiques sur le RGPD (en groupe de 8 personnes maximum) :

 

Pourquoi une nouvelle réglementation sur la protection des données personnelles ?

Dans le but de réformer la directive vieillissante sur la protection des données (95/46/EC) de 1995, les délégations de la Commission européenne, du Parlement européen et du Conseil européen ont travaillé ensemble à la création d’un nouveau règlement : le RGPD.

Les quantités de données échangées chaque jour ont drastiquement augmenté, les types d’informations ont quant à eux bien changé et les moyens d’échanges se sont multipliés. Le Big Data est d’ailleurs l’exemple le plus flagrant de cette évolution. Tous ces facteurs étaient autant de raisons de remplacer l’ancienne directive. Celle-ci n’était plus du tout adaptée à ces échanges quotidiens, surtout à l’air où le digital est omniprésent.

L’objectif de cette nouvelle réglementation vise donc à renforcer et à unifier la protection des données des individus au sein de l’Union européenne (harmonisation de la réglementation).

Par extension, le GDPR vise à remettre aux mains des citoyens le contrôle de leurs données personnelles tout en augmentant leur niveau de protection.
 

Qui est concerné par le RPGD ?

La réponse est simple :  toutes les entreprises qui récoltent et traitent les données de personnes physiques situées sur le territoire de l’Union Européenne sont concernées.

Et ce, sans tenir compte du lieu de traitement de ces données. Par ailleurs, cela ne se limite pas aux responsables directs du traitement: les sous-traitants sont également concernés par la réglementation.

À noter que cette réglementation ne s’applique pas uniquement aux entreprises qui recueillent des données grâce à un canal digital. Elle s’applique à toutes les activités de traitement de données liées à l’offre de biens ou de services (gratuits ou non) à des individus résidents dans l’Union Européenne.
 

Les principaux changements liés à ce nouveau règlement

Même si les principes de base de la réglementation initiale persistent, de nouveaux éléments font leur apparition :
 

1. Une réglementation unique

En plus de s’appliquer à tous les états membres de l’Union Européenne, la réglementation passe les frontières de l’Europe. Les entreprises établies en dehors de l’Union Européenne qui traitent des données relatives aux organisations et/ou aux résidents de celle-ci doivent également appliquer le RGPD.
 

2. L’individu reprend le contrôle de ses données personnelles

Par le biais de cette réforme, les individus bénéficient de 3 droits majeurs sur leurs données personnelles :

  • Le droit d’accéder à ses données

Ainsi, chaque personne a le droit de savoir si ses données sont analysées, où elles le sont et pourquoi elles le sont (finalité poursuivie). De plus, le responsable du traitement est tenu de fournir une copie des données, gratuitement, dans un format électronique.

  • Le droit à l’oubli

Chaque personne peut exiger que ses données soient supprimées mais aussi, à ce qu’elles ne soient plus diffusées et traitées. Cette demande pouvant être justifiée par le simple fait que l’on retire son consentement ou encore que les données soient obsolètes ou non-pertinentes. Par exemple : La suppression d’un contenu, d’un commentaire ou d’un profil sur un site internet.

  • Le droit à la portabilité des données

Enfin, chaque individu peut demander à recevoir l’ensemble de ses données personnelles dans un format informatique lisible par tous afin de les transmettre à un autre responsable de traitement. Par exemple : Le transfert de données personnelles lors d’un changement de banque, de réseau social, d’opérateur téléphonique, de commerçant…

Vous l’aurez compris, l’ensemble de ces droits ne doit pas être oublié dans le cadre de démarches marketing ou de toute relation commerciale.
 

3. Un niveau de sécurité renforcé

  • La protection des données dès la conception

Cette notion impose aux organisations de répondre à certaines exigences relatives à la protection des données personnelles et ce, dès la conception des produits, services et systèmes exploitant ces données.

  • La sécurité par défaut

Quant à cette notion, elle impose à toute organisation de disposer d’un système d’information sécurisé.
 

4. Notification en cas de fuite de données

L’autorité nationale de protection (en Belgique, l’Autorite de Protection des données – APD – auparavant dénommée “Commission de Protection de la Vie Privée”) doit être avertie en cas de fuite grave de données.
 

5. Nomination d’un délégué à la protection des données

Un délégué à la protection des données (DPO) doit être nommé au sein des organismes publics ou privés dont les activités de base nécessitent un suivi régulier et systématique à grande échelle des personnes. Ce délégué (qui peut être un membre du personnel, à condition qu’il soit indépendant du responsable des finalités du traitement des données, ou bien un externe) est chargé de contrôler le respect du règlement par l’entreprise et les interventions d’éventuels sous-traitants, de conseiller le responsable des traitements et d’être le point de contact avec l’autorité de contrôle.
 

6. Des évaluations de risques avant de lancer un produit/service

Avant chaque activité pouvant avoir des conséquences importantes sur la protection des données personnelles, une évaluation d’impact est réalisée. Celle-ci prévoit également les mesures pour réduire l’impact des dommages potentiels sur les données.
 

7. De lourdes sanctions pour les fraudeurs

Toutes les entreprises ou organismes qui ne respectent pas les règles du RGPD s’exposent à des sanctions pouvant aller du simple avertissement à l’amende jusqu’à 20 000 000€ ou, pour les entreprises dépassant 500 m€ de CA, jusqu’à 4% du chiffre d’affaire annuel mondial.
 

8. Le comité européen de la protection des données

Création d’un comité européen. Celui-ci fait figure d’autorité dans tout ce qui concerne l’interprétation de la réglementation.
 

Pourquoi respecter ce nouveau Règlement Général sur la Protection des Données ?

Comme toutes les réglementations, le GDPR engendre des pénalités en cas de non-respect. Ainsi, les entreprises peuvent se voir infliger différentes sanctions en fonction de l’infraction :

  • Un simple avertissement si c’est la première fois ou que la faute est non-intentionnelle
  • Des audits périodiques peuvent être réalisés au sein de l’entreprise afin de s’assurer que celle-ci continue de respecter la réglementation
  • Une amende allant jusqu’à 10 000 000€ ou 2% du chiffre d’affaire annuel
  • Une amende allant jusqu’à 20 000 000€ ou 4% du chiffre d’affaire annuel (le montant le plus élevé peut être retenu)

Mais, après analyse approfondie de la réglementation, le cabinet-conseil Retis a identifié plusieurs dangers nettement plus importants qu’un contrôle spontané des Autorités.

Par ailleurs, les entreprises peuvent également voir l’arrivée du RGPD comme une opportunité de :

  • Documenter en interne les process de récolte, de traitement des données personnelles, en levant d’éventuelles zones d’ombre
  • Bien (re)définir les finalités, les durées de conservation, qui en interne et en externe a accès aux données
  • Trier et mettre à jour les bases de données existantes en repérant les doublons et les données obsolètes, permettant ainsi de valoriser les données existantes
  • Adopter de bonnes pratiques d’information et de relation avec les prospects et clients (transparence sur les finalités, exercice des droits de communication, rectification, suppression, oubli, exportation)

Cet article est un essai de vulgarisation du nouveau Règlement Général sur la Protection des Données personnelles. Son objectif est d’être le plus pratique possible. La plus grande attention a été apportée à sa rédaction, sans toutefois aucune garantie de conformité. Ce document ne dispense pas de consulter un conseil.

 

Comment respecter le RGPD ?

Les experts Retis ont établi une méthodologie s’appuyant sur une feuille de route pour accompagner toutes les sociétés soucieuses de respecter la nouvelle réglementation générale sur la protection des données. Nous publions les grandes lignes de ce plan d’actions de mise en conformité au GRPD.

C’est ensemble que nous analyserons les différents points d’attention pour vous préparer à la mise en conformité de votre entreprise à ce Règlement.

Contactez-nous pour plus d’informations.

 

Ce qu’il faut retenir sur le RGPD

  • La nouvelle réglementation est en vigueur depuis le 25 mai 2018. Des sanctions allant jusqu’à 20 000 000€ ou 4% du chiffre d’affaire peuvent être infligées
  • Une seule réglementation pour tous les états membres de l’Union Européenne
  • Le GDPR s’applique aussi pour les entreprises établies en dehors de l’Union Européenne qui traitent les données personnelles de résidents européens
  • La protection des données personnelles et la transparence sur l’usage sont améliorées
  • Les individus ont davantage de contrôle sur leurs données personnelles

 

Notre dossier dédié au RGPD :

Nos formations pratiques sur le RGPD :

Partager l'article :