Ce qu’il faut savoir sur le RGPD (règlement général sur la protection des données)
Le RGPD est un règlement Européen paru au journal officiel de l’Union Européenne et qui rentrera en vigueur le 25 mai 2018. La dernière directive concernant le traitement des données personnelles en Europe datait de 1995 et le nouveau règlement constitue l’aboutissement de 4 ans de négociations pour adapter l’Union Européenne aux nouvelles réalités du numérique et renforcer la cybersécurité.
Il s’agit donc d’un chantier lourd aux enjeux primordiaux : La Papeterie Financière fait le point sur ce qu’implique ce règlement.
Quel est l’objectif du RGPD ?
Le règlement stipule la volonté de proposer un « cadre de protection des données solide et plus cohérent dans l’Union, assorti d’une application rigoureuse des règles ». Plus concrètement, ce règlement a pour vocation d’accroître la protection des personnes physiques concernant le traitement de leurs données personnelles tout en facilitant le flux de données dans l’Union Européenne. Un double enjeu donc, porté par un règlement avec une application directe dans tous les pays membres de l’Union Européenne sans transposition dans les Etats membres.
Qu’est-ce qu’une donnée personnelle ?
Les données personnelles sont toutes les données qui permettent d’identifier une personne, et ce, même indirectement. Les informations indéniablement identifiantes seraient par exemple le nom, le prénom, l'adresse email ou IP, ou encore les coordonnées GPS. De manière moins évidente une date de naissance associée à une commune de naissance constituent également des données personnelles.
Le RGPD protège les personnes physiques…
Le RGPD protège les droits et les libertés fondamentales des personnes physiques en protégeant notamment leurs données à caractère personnel. Par cela on entend que ce règlement n’est pas destiné à protéger les personnes morales : son champ d’application ne couvre pas le traitement de leurs données personnelles (nom, forme juridique et coordonnées). Le RGPD s'applique aux personnes physique donc, quels que soient leur nationalité et leur lieu de résidence.
… Et s’applique dans l’Union Européenne !
Sont concernés par le RGPD tous les responsables de données et sous-traitants présents dans l’Union Européenne, mais celui-ci s’applique également dès lors qu’un résident Européen est directement impacté par un traitement de données.
Les 3 points clés du RGPD
- Le RGPD a pour vocation de renforcer le droit des personnes physiques
- De responsabiliser et sensibiliser les responsables de traitement de données et les sous-traitants
- Et de crédibiliser la régulation en Europe grâce à une coopération renforcée entre les autorités des différents Etats membres et des sanctions alourdies.
Mais concrètement, qu’est ce qui va changer pour les entreprises ?
Renforcement de la protection des données
Pour les entreprises, dorénavant, adopter une attitude responsable à l’égard du traitement de données ne représentera plus « un plus » mais une nécessité imposée. La protection des données devient une étape obligatoire de toute phase de réflexion et de mise en œuvre d’un projet d’entreprise. Ainsi, elle constitue, en soi, une étape propre du projet, alimentée par des réflexions et des mises aux normes des solutions et applications.
Prouver le consentement
Le RGPD veut marquer la fin de l’acquisition de données par des moyens détournés : toute personne doit être explicitement informée de la réutilisation de ses données (et être informée du type de réutilisation : commercial, marketing…) et en mesure de l’accepter ou de la refuser. Aussi, sans raison valable de détenir des informations à caractère personnel et si l’entreprise n’est pas en mesure d’apporter la preuve du consentement de l’utilisation de données personnelles, alors elle n’est tout simplement pas en droit de les utiliser. Un devoir de visibilité concernant l’acquisition des bases vis-à-vis des autorités de contrôle et des utilisateurs est désormais de rigueur.
Imposer le droit à l’oubli
Si certains pays étaient en avance sur ce point, cela devient une obligation pour tous les pays de l’Union Européenne. Toute personne demandant la suppression de ses informations doit obtenir gain de cause, et ce dans tous les systèmes de l’entreprise en question, sous un délai de 30 jours.
Le droit de conserver ses données
Avec le RGPD, une personne peut exiger la portabilité de ses données d’une entreprise à une autre. Par exemple, en cas de changement d’opérateur téléphonique elle peut demander à garder son numéro de ligne. Les personnes pourront donc exiger de l’entreprise dont elles se détournent de transférer l’intégralité de leurs données à celle qu’elles rejoignent.
Nomination d’un délégué à la protection des données (ou DPO : Data Protection Officer)
C’est un dispositif au cœur du RGPD qui constitue une des mesures phares de ce dernier. Le DPO est en charge de la protection des données personnelles et applique les réglementations inhérentes à ses dernières. Il travaille de concert avec le responsable données et/ou le sous-traitant. Il peut être interne ou externe à l’entreprise. La présence d’un DPO sera obligatoire pour toutes les entreprises publiques et les entreprises faisant un usage très intenses de données personnelles.
Le registre des activités de traitement de données RGPD
Ce registre est prévu dans le cadre du RGPD. S'il est obligatoire pour les organisations de plus de 250 employés, il est toutefois fortement recommandé pour toute entité souhaitant piloter et démontrer sa conformité RGPD. Le registre des traitements vise à mesurer et cadrer le traitement des données dans votre entreprise et assurer la conformité RGPD de ces traitements.
Commandez-le dès à présent en cliquant ici
Les sanctions prévues
La CNIL annonce que les sanctions vont être encadrées et renforcées par rapport à la Loi Informatique et Libertés. Voici les sanctions possibles (par ordre de sévérité) que les organismes de contrôle peuvent appliquer :
- Avertissement
- Suspension des flux de données hors Union Européenne
- Suspension temporaire ou définitive d’un traitement.