RGPD : Tout ce que vous devez savoir sur la loi

Martin Villers

le 16/01/2018
aucun commentaire

C’est une date que vous avez sûrement déjà notée, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai prochain. Fait marquant de cette année 2018, cette nouvelle loi a pour but de limiter les pratiques abusives et de permettre à l’utilisateur un meilleur contrôle de l’utilisation de ses données personnelles.

Chez Uptilab, la data est un peu notre matière première. Donc autant vous dire que nous sommes prêts ! Mais encore mieux, nous avons conçu une solution de recueil du consentement de vos utilisateurs pour l’utilisation de vos cookies que nous vous proposons de découvrir en téléchargeant la présentation ci-dessous :

Ce que vous devez savoir sur le RGPD

Pourquoi mettre en place un nouveau règlement sur la protection des données ?

L’explosion du nombre de données digitales personnelles et leur exploitation est un phénomène relativement récent puisque c’est au cours des années 2000 que le Big Data s’est popularisé. Or, le cadre juridique régissant leur utilisation/exploitation est aujourd’hui largement dépassé :

> Loi Informatique & Libertés 78-17 du 6 janvier 1978 (40 ans)

> Directive 95/46/CE du 24 octobre 1995 (23 ans)

Vous imaginez bien qu’entre temps, de nouvelles problématiques liées aux innovations technologiques ont vu le jour. Mais on constate également une véritable prise de conscience des citoyens, de plus en plus méfiants sur l’utilisation de leurs données personnelles. Selon Viviane Reding, ex-commissaire européenne à la justice aux droits fondamentaux et à la citoyenneté : “72 % des Européens craignent l’usage abusif des données personnelles”.

Les 3 objectifs majeurs du RGPD :

Ainsi, pour répondre à ces nouvelles problématiques et inquiétudes, le RGPD s’articule autour des 3 objectifs suivants :

1- Le contrôle des données : Renforcer les droits des citoyens européens en leur donnant plus de contrôle sur leurs données personnelles;

2- Harmonisation : Unifier le cadre juridique entre les pays européens et les organismes privés et publics;

3- Responsabilisation : Faire évoluer les pratiques des acteurs traitant des données personnelles.

Mais qui sont ces acteurs ? Le texte de loi nous dit que sont concernées : 

“Toutes les entreprises privées ou publiques qui proposent des biens et services sur le marché de l’UE dès lors que le traitement de données à caractère personnel concerne des résidents de l’UE.”

A partir de là, quelques précisions de vocabulaire sont nécessaires.

Qu’est-ce qu’une donnée à caractère personnel ?

Selon l’article 4 du RGPD, une donnée à caractère personnel est :

« Toute information se rapportant à une personne physique identifiée ou identifiable »

Un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, géolocalisation, physiologique, génétique, psychique, économique, culturelle ou sociale.

Qu’est-ce qu’un traitement ?

Encore une fois, la réponse se trouve dans l’article 4 du RGPD. Est considéré comme un traitement :

« Toute opération appliquée à des données à caractère personnel »

collecte, enregistrement, conservation, modification, extraction, consultation, utilisation, communication par transmission, diffusion, rapprochement, effacement…

Précisons que les personnes concernées par ce traitement peuvent être des employés, collaborateurs, externes, stagiaires, clients, prospects, leads, usagers, patients, internautes etc.

Que risquent les entreprises en cas de non-conformité ?

Même si d’après Isabelle Falque-Perrotin, présidente de la CNIL, “l’objectif est de s’assurer la conformité et non pas de sanctionner”, le nouveau règlement prévoit des sanctions pour les entreprises qui ne le respecteraient pas :

> Sanction d’image : Mise en demeure de la CNIL pouvant entraîner la perte de clients exigeant la compliance au RGPD

> Sanction Financière : Jusqu’à 4% du CA mondial pénalisant les groupes ne respectant pas les impératifs RGPD

> Sanction Opérationnelle : Injonction de la CNIL de stopper des flux

Quels sont les grands principes du RGPD ?

Gouvernance : Chaque entreprise doit désigner un Data Protection Officer (DPO) au rôle élargi.

Sécurité des données : L’entreprise est responsable de la sécurité des données ; Elle doit la garantir en mettant en place des mesures de sécurité. Elle doit documenter toutes les procédures en matière de DCP.

Notification de violation : L’entreprise doit être en capacité de notifier la violation dans les meilleurs délais et 72 heures au plus tard à la CNIL.

Co-responsabilité : Les sous-traitants doivent présenter des garanties suffisantes et mettre en œuvre les mesures techniques et organisationnelles appropriées. La conformité des entreprises est conditionnée par celle de ses sous-traitants.

Droit des personnes : Tout individu a le droit d’accéder facilement à ses données + droit à l’oubli.Le responsable du traitement doit faciliter l’exercice des droits des personnes.

Privacy by design : L’entreprise doit protéger les données dès la conception d’un service ou d’un produit.

Transparence : Les entreprises doivent fournir aux individus – dès de la collecte – des informations claires et sans ambiguïté sur la manière dont leur data va être traitée.

Consentement : Les entreprises sont tenues de s’assurer du consentement explicite et éclairé des individus quant à la collecte et au traitement de leurs données à caractère personnel. Elles doivent être aussi en capacité de prouver le recueil de ce consentement. 

D’ailleurs, on vous a parlé de Cookie Lab notre solution de recueil du consentement des utilisateurs ? Découvrez la en téléchargeant la présentation ci-dessous :

Registre des traitements : L’entreprise est dans l’obligation de tenir un registre des activités de traitement. Il s’agit d’un outil primordial du Data Protection Officer, véritable bible qui explique et détaille tout ce qui passe autour de la DCP.

Des questions demeurent sur le RGDP et votre mise en conformité ? Vous souhaitez vous faire accompagner dans ce processus ? N’hésitez pas à nous contacter via ce formulaire, nos experts répondront à toutes vos interrogations et problématiques.