RGPD : entrepreneurs, êtes-vous aux normes ?
Une loi qui remplace celle de 1995 sur la protection des données

La protection de données personnelles des pays membres de l’UE était, jusqu'à aujourd'hui, communément basée sur la directive européenne du 24 octobre 1995. Cette dernière couvre la liberté de circulation des données personnelles en limitant les divergences entre les législations nationales. En 2012, la Commission Européenne a proposé une révision de cette loi afin d'intégrer les échanges de données personnelles liés à la technologie, notamment sur Internet et le Cloud. Il aura fallu quatre ans de négociations législatives pour que ce projet de loi soit finalement promulgué le 14 avril 2016. Il est entré en vigueur le 25 mai 2018.
Un profond changement est donc en train de s'opérer, permettant à tous les utilisateurs de reprendre le contrôle de leurs données personnelles et pour mieux encadrer les entreprises qui collectent et traitent ces données.
Le Règlement général sur la Protection des Données personnelles (RGPD) uniformise en effet la législation en matière d’échanges de données personnelles dans l’Union européenne. Dans ce cadre, la responsabilité des entreprises est renforcée. Elles doivent se mettre aux normes RGPD et s’assurer que sont respectées les règles en vigueur en termes de traitement des données personnelles, sous peine de s’exposer à des sanctions de la Commission nationale de l’informatique et des libertés (CNIL). Concrètement, qu’est-ce que cela implique et comment mettre aux normes votre entreprise ?

Un encadrement juridique pour la protection des données personnelles

La protection de données personnelles des pays membres de l’UE était, jusqu'à peu, basée sur la directive européenne du 24 octobre 1995, qui n’était plus en accord avec les avancées technologiques des 20 dernières années. Le RGPD révise cette loi afin d'y intégrer les échanges de données personnelles liés à la technologie, notamment sur Internet. Dans ce contexte, le traitement des données personnelles par les entreprises est soumis à de nouvelles règles strictes.

Une extension des données personnelles avec le RGPD ?

Quelles sont les données concernées par le RGPD ? Les données à caractère personnel identifiés dans le cadre du RGPD ont une définition large : elles concernent les informations basiques telles que les noms et prénoms, coordonnées postales et téléphoniques, mais aussi l’adresse IP, les informations sur la santé et les loisirs ainsi que les données personnelles sous pseudonyme, qui sont considérées comme des informations personnellement identifiables et soumises au nouveau règlement.

L’impact conséquent du RGPD pour les entreprises

L’objectif du RGPD est d’unifier la façon dont les entreprises traitent les informations, en veillant à ce que toutes les lois sur la protection des données soient exécutées de la même manière dans toute l’UE. Cela tout en veillant à ce que toutes les lois sur la protection des données soient respectées. Il s’applique aussi bien aux petites qu’aux grandes entreprises et à n’importe quel organisme traitant les données des résidents, même domicilié hors des frontières de l’Union européenne. Une entreprise, même sous-traitante, basée en dehors de l'UE est donc concernée par le RGPD, dès lors qu'elle traite des données appartenant aux personnes habitant dans l’un des pays membres de l’Union européenne. Une entreprise, même sous-traitante, basée en dehors de l'UE est donc concernée par le RGPD.
La nouvelle loi impose aux entreprises d’informer de manière compréhensible, accessible et avec des termes clairs et simples la manière dont elles manipulent les données des utilisateurs. Par conséquent, les organisations qui avaient l’habitude malsaine de collecter, d’utiliser et de revendre des données personnelles doivent aujourd’hui cesser cette pratique sous peine de subir des sanctions lourdes, même si la faute provenait d’une seule personne dans l’entreprise.
Une société dont l’activité nécessite la collection d’informations personnelles doit obligatoirement renforcer sa politique de confidentialité auprès de ses employés. La récolte de données personnelles sans consentement explicite et à des fins de revente est interdite.
Il est nécessaire de se conformer au RGPD, car toute entreprise ne respectant pas les règles et qui fait preuve d’abus peut subir une amende pouvant atteindre les 10 millions d’euros ou 2% du chiffre d’affaires annuel (montant de l’amende RGPD au moment de l’entrée en vigueur de la loi).

Une protection renforcée pour les particuliers

Les données personnelles divulguées aux entreprises ne seront plus traitées de la même manière puisque l’utilisateur gardera le contrôle sur l’usage de ses données.
Si vous résidez dans l'un des États membres de l'Union européenne et que vous estimez qu'une entreprise collecte et utilise vos données personnelles en contradiction avec la loi, vous pouvez vous aussi introduire un recours auprès de la CNIL afin d'obtenir une réparation du préjudice subi. Avec le nouveau règlement s'ajoute également le droit à la portabilité des données pour les utilisateurs. Vous pouvez dorénavant réclamer vos données numériques pour un usage personnel ou demander un transfert d'un service à un autre gratuitement.

En entreprise, avez-vous nommé vos référents RGPD ?

TPE, PME, indépendants, comme tout entreprise de moins de 250 salariés,  il est nécessaire d’affecter une équipe dédiée afin de vérifier la manière dont votre entreprise collecte et traite les données personnelles. A savoir, les grandes entreprises sont invitées à engager un DPO, ou à nommer un Délégué à la Protection des Données (DPO). Le DPO sera l’interlocuteur privilégié sur les questions de mise en conformité RGPD. Il sera en charge de vérifier la conformité des échanges de données personnelles au sein de l’entreprise, et ce sera votre lien privilégié avec la CNIL. Dans tous les cas, vous devez vous assurer que les informations collectées soient traitées de manière légale, transparente et dans un objectif bien précis.
Désormais, vous devez traiter les demandes de modification ou de suppression plus rapidement, donner aux utilisateurs la possibilité de contrôler leurs informations numériques, c’est-à-dire, choisir ce qu’ils veulent partager et leur permettre d’accéder au suivi du traitement de leurs données personnelles.
Exit donc l’imposition aux internautes d’accepter bêtement les cookies ! Vous devez mettre à leur disposition un outil de gestion des cookies afin de réduire l’impact de ces traceurs à des fins publicitaires. Certaines actions du marketing digital sont également à revoir, comme le fait de proposer des contenus gratuits contre une inscription pour ensuite envoyer des mailings à la personne, sans lui avoir demandé l’autorisation en amont. Ceux qui faisaient jusqu’à aujourd’hui des cases pré-cochées doivent désormais laisser à l’utilisateur la liberté de choisir consciencieusement l’action qu’il souhaite faire, etc.
Vous l’aurez compris, le consentement de l’utilisateur doit être une action active et positive plutôt qu'une acceptation passive à l’image de certains modèles actuels. Il est à noter que la personne concernée a le droit de retirer à tout moment son consentement. Là encore, vous avez la responsabilité de lui en informer de manière explicite.

Quelles sont les autres actions à mettre en place dans l’entreprise ?

L’entrée en vigueur du RGPD a imposé de nouvelles obligations aux entreprises :

  1. Tenir un registre détaillé du type de données collectées, de la date du consentement de la personne concernée et de l’historique de l’utilisation des données.
  2. Mettre en place des outils accessibles permettant aux utilisateurs de mieux contrôler leurs données personnelles.
  3. Ne rien imposer et laisser aux utilisateurs le droit de décider ce qu’ils souhaitent partager ou non. Permettre aux utilisateurs d’avoir un accès direct et sécurisé pour qu'ils puissent vérifier quelles informations sont stockées et combien de temps, pourquoi ces données sont traitées, et qui peut les voir.
  4. Informer l’utilisateur de son droit à l’oubli si la sauvegarde de ses informations n’est plus pertinente, de pouvoir demander que ses données soient rectifiées ou supprimées librement et de revenir sur son consentement initial.
  5. Former les collaborateurs afin de garantir le respect de la protection des données dans toutes les étapes du traitement des informations de l’utilisateur. Sensibiliser l’ensemble des personnes de l’entreprise sur les dangers des fuites de données personnelles.

Quelles protections pour les données personnelles de vos clients ?

La notion de consentement est désormais centrale dans la protection des données. Les données collectées doivent l’être de manière légale, transparente et dans un objectif précis. Dans tous les cas, l’utilisateur garde le contrôle total sur l’usage de ses données et peut retirer son consentement à tout moment. Avec le nouveau règlement s'ajoute également le droit à la portabilité des données pour les utilisateurs. Vos usagers peuvent désormais demander à récupérer leurs données pour leur usage personnel ou demander un transfert d'un service à un autre gratuitement. Le non-respect de ces règles expose à des sanctions de la CNIL.

RGPD : quelles bonnes pratiques mettre en place sur Internet ?

En ligne, il n’est plus possible d’imposer aux Internautes visitant votre site web d’accepter des cookies. Vous devez ainsi mettre à leur disposition un outil de gestion des cookies afin de réduire l’impact de ces traceurs à des fins publicitaires. Certaines actions du marketing digital sont également à revoir, comme le fait de proposer des contenus gratuits contre une inscription pour ensuite envoyer des mailings à la personne, sans lui avoir demandé l’autorisation en amont.

Et que faire en cas de cyberattaque avec la nouvelle loi de protection de données ?

En cas de piratage informatique, le RGPD stipule que vous devez informer les personnes concernées par la violation des données et avertir la CNIL dans les 72h suivants la date à laquelle vous prenez connaissance des faits. Il est alors important de décrire la nature des données et le nombre de personnes concernées, les conséquences de cette attaque pour les victimes, les actions déjà exécutées ou que vous comptez mettre en place pour corriger le problème.
Ceux qui ne respectent pas le délai des 72h s’exposent à une sanction de la CNIL pouvant atteindre selon les entreprises à 2% de leur CA annuel. Le montant des amendes restent tout de même proportionnelles à la violation.

Auteur Valérie Ramarozatovo - création le : 08.01.2019