RGPD : ce qu’il faut savoir

Le 25 mai 2018, le règlement européen est entré en application. De nombreuses formalités auprès de la CNIL disparaîssent. En contrepartie, la responsabilité des organismes est renforcée. Ils doivent désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.
 

Qu’est-ce que le RGPD ?

Le RGPD pour Règlement Général sur la Protection des Données est un texte de loi européen adopté en avril 2016. Ce texte de référence européen porte sur la protection des données à caractère personnel. Si le RGPD tend à protéger la vie privée des internautes européens, elle a des répercussions très importantes sur les professionnels et les entreprises qui collectent des données.
On parle aussi de GDPR pour General Data Protection Regulation en anglais.
 

Les objectifs du RGPD

Pourquoi le RGPD a-t-il été promulgué ? Quels sont les objectifs du RGPD ?
Cette réforme s’inscrit dans une transformation et une adoption du numérique par la plupart des citoyens européens. Le changement dans les usages et les comportements a poussé l’Union Européenne à remplacer la directive sur la protection des données personnelles de 1995.
Redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises.
 

Il existe 3 objectifs du RGPD :

– Renforcement du droit des citoyens majeurs et mineurs
– Responsabilisation des acteurs de la donnée (entreprises et intermédiaires)
– Renforcement du contrôle et application des sanctions sur tout le territoire européen
 

Conséquences du RGPD

Le Règlement Général sur la Protection des Données a bouleversé ou va bouleverser le fonctionnement de certaines entreprises. Ces dernières ont vite compris qu’elles doivent mettre en place des modifications sur leur fonctionnement avant le 25 mai 2018, date d’entrée en vigueur.
Cependant, les études menées sur le sujet montrent que la plupart des entreprises ne sont pas encore prêtes à respecter ce nouveau règlement sur les données personnelles. Elles n’ont donc pas d’autre choix que de se mettre en conformité avec des dépenses en logiciels et en services, qui pourraient atteindre le milliard d’euros en 2018. C’est une charge non négligeable pour les entreprises qui souhaitent tirer profit de la data.
 

Quelles sont les grandes mesures du RGPD ?

Le RGPD est un texte de loi qui fera office de référence sur les années, voire les décennies à venir. Il est donc très détaillé et long. On ne pourra pas donner ici l’ensemble des mesures prévues par près de 200 articles de loi mais seulement quelques mesures phares qui auront des conséquences majeures sur les entreprises. Vous pouvez aussi consulter la totalité du règlement européen sur la protection des données ou la version PDF du Règlement Général de Protection des Données.
 

Identifier les traitements des données personnelles

La déclaration obligatoire à la CNIL est amenée à disparaître (Loi informatique et Libertés). Les entreprises doivent être capables de garantir et de prouver que le traitement des données est conforme et sécurisé à tout moment. Le traitement des données doit pouvoir être traçable pour justifier de la mise en place de bonnes pratiques en termes de manipulation des données personnelles (collecte, stockage, utilisation, partage ou destruction).
 

Étendre les obligations aux sous-traitants

Les organismes qui réalisent le traitement des données ne sont pas les seuls à devoir respecter le RGPD. Les sous-traitants doivent donc se mettre en conformité et les entreprises doivent choisir un prestataire qui répond aux exigences de la nouvelle réglementation.
 

Engager un Data Protection Officer

Le RGPD encourage vivement les entreprises à se doter d’un Data Protection Officer et le rend même obligatoire dans certaines situations.
Il existe 3 situations où un Data Protection Officer est obligatoire :
– les organismes publics
– les organismes manipulant des données « à grande échelle »
– les organismes qui manipulent des données sensibles (santé, juridique…)
Le Data Protection Officer est chargé de piloter la gestion et le traitement des données. Il doit s’assurer du respect des obligations juridiques et de superviser l’ensemble du travail fait sur ce domaine.
 

Être totalement transparent sur le traitement de données personnelles

La collecte des données est très strictement encadrée. Il est impossible de récupérer des données personnelles sans un accord clair et intelligible de la part de la personne. L’entreprise doit obtenir un consentement et doit pouvoir le prouver sur l’utilisation future des données (opt-in).
 

Donner de nouveaux droits aux personnes

Le RGPD donne de nouveaux droits aux personnes sur l’utilisation et le traitement des données personnelles.
Le droit à la portabilité des données prévoit que les personnes peuvent recevoir les données qui les concernent et qui ont été transmises à un organisme et que les personnes puissent aussi les transmettre à un autre organisme sans restriction. Ce transfert doit se faire “dans un format structuré, couramment utilisé et lisible par machine”.
Le droit à l’oubli permet à une personne de demander la destruction des données personnelles qui la concernent.
Le droit sur la protection des données des mineurs de moins de 16 ans oblige les organismes à recevoir un accord d’un représentant légal pour collecter des données sur le jeune public.
 

Prévenir la CNIL et la personne en cas de violation de la vie privée

Si un organisme comme une entreprise venait à violer la vie privée d’une personne, elle est tenue de prévenir en moins de 3 jours la CNIL et la personne dont les droits ont été violés.
Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur le 25 mai 2018. A cette date, les organismes (entreprises, organismes publiques, associations…) sont durement sanctionnés s’ils ne respectent pas les nombreux principes et les grandes mesures de cette législation. Une prise de conscience rapide est nécessaire pour régulariser les processus et les pratiques.
 

Le système de sanctions graduelles

Les moyens dissuasifs mis à la disposition de l’autorité de contrôle se trouvent à l’article 58 § 2 du RGPD.
– L’intervention de l’autorité de contrôle est progressive en fonction de la gravité du manquement de l’entreprise à une des obligations découlant du RGPD.
– Les sanctions sont donc graduées en fonction de la violation du RGPD, tout en étant renforcées par rapport aux dispositions légales précédentes (entre autres la loi Informatique et libertés en France).
 

Les infractions sont donc sanctionnées graduellement et en fonction de leur gravité :

Etape 1 : Avertissement ou une mise en demeure de l’entreprise fautive avec rappel du devoir de mise en conformité des traitements de données sensibles au RGPD
Etape 2 : Injonction de cesser la violation
Etape 3 (dans certains cas) : Limitation ou suspension temporaire des traitements de données
Etape 4 : Sanctions administratives en cas de non-respect aux règles du RGPD après injonction vaine de l’autorité de contrôle
 

Deux niveaux de sanctions administratives prévus par le RGPD

Les sanctions administratives sont réparties en deux groupes en fonction de la durée, la nature et la gravité de la violation.
Selon la gravité du dysfonctionnement constaté et lié au RGPD, notamment lorsqu’il s’agit d’un des manquements aux obligations suivantes, une amende d’un montant de 2% du chiffre d’affaires mondial pour les entreprises ou 10 millions d’euros d’amende peut être appliqué :
– les obligations incombant au responsable du traitement et au sous-traitant
– les obligations incombant à l’organisme de certification
– les obligations incombant à l’organisme chargé du suivi des codes de conduite
 
Dans le cas d’infractions plus graves liées à la mauvaise application ou au non-respect du RGPD, une amende qui correspond à 4 % du chiffre d’affaires mondial s’agissant des entreprises ou 20 millions d’euros d’amende. Les infractions en question doivent concerner les dispositions suivantes :
– L’obligation de consentement de la personne concernée avant collecte, traitement ou stockage des données personnelles
– Les autres droits des personnes concernées
– Les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale
– Toutes les obligations découlant du droit des Etats membres
– Le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle
 

Les sanctions pénales

D’après l’article 84 du RGPD, les Etat Membres peuvent également mettre en place des sanctions supplémentaires en cas de violation du RGPD, en particulier pour compléter le RGPD. Il s’agit surtout de réprimander les violations qui ne font pas l’objet d’amendes administratives au sens de l’article 83 du RGPD.
On les retrouve en France à la section “Des atteintes aux droits de la personne résultat des fichiers ou des traitements informatiques” (articles 226-16 à 226-24) du Code pénal. Il existe donc par exemple une sanction pénale en cas de détournement de la finalité des données personnelles lors d’un traitement de données (Article 226-21 du Code pénal).
Les sanctions pénales peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (Article 226-16 du Code pénal).
 

 

Le déficit d’image de l’organisme non conforme au RGPD

Enfin, le non-respect du RGPD peut entrainer une perte de réputation de l’organisme fautif face à la concurrence sur le marché. Un manquement ou une absence de mise en conformité d’une entreprise au RGPD risque de nuire à son image et à sa réputation. En effet, les clients vont perdre confiance en l’entreprise.
 
Plus d’informations sur les WordPress mise en vigueur du RGPD.
 
Si vous souhaitez être accompagné pour créer ou améliorer votre marketing digital, n’hésitez pas à lire notre Guide Complet du Marketing digital ou à nous contacter pour bénéficier d’un rendez-vous gratuit avec l’un de nos consultants en marketing Adwords.