Le Règlement Général sur la Protection des Données personnelles compte bien changer la donne en matière de traitement des informations numériques, pour tous les résidents de l’Union européenne. Qu’est-ce que cela implique et comment se mettre en conformité avec le RGPD ?

Une loi qui remplace celle de 1995 sur la protection des données

La protection de données personnelles des pays membres de l’UE était, jusqu'à aujourd'hui, communément basée sur la directive européenne du 24 octobre 1995. Cette dernière couvre la liberté de circulation des données personnelles en limitant les divergences entre les législations nationales. En 2012, la Commission Européenne a proposé une révision de cette loi afin d'intégrer les échanges de données personnelles liés à la technologie, notamment sur Internet et le Cloud. Il aura fallu quatre ans de négociations législatives pour que ce projet de loi soit finalement promulgué le 14 avril 2016, et il entrera en vigueur ce 25 mai 2018.

Un profond changement est donc en train de s'opérer, permettant à tous les utilisateurs de reprendre le contrôle de leurs données personnelles et pour mieux encadrer les entreprises qui collectent et traitent ces données.

Quelles sont les données concernées par le RGPD ?

Les données à caractère personnel défini dans le cadre du RGPD ont été complètement repensées. Au-delà des informations basiques du patronyme, des coordonnées postales et téléphoniques, d’autres renseignements entrent en ligne de mire. Les adresses IP, les informations sur la santé et les loisirs et même les données personnelles sous pseudonyme sont considérées, par exemple, comme des informations personnellement identifiables soumises au nouveau règlement.

L’impact conséquent du RGPD pour les entreprises

L’objectif du RGPD est d’unifier la façon dont les entreprises traitent les informations, en veillant à ce que toutes les lois sur la protection des données soient exécutées de la même manière dans toute l’UE. Il s’applique aussi bien aux petites qu’aux grandes entreprises et à n’importe quel organisme traitant les données des résidents, même domicilié hors de ces frontières. Une entreprise, même sous-traitant, basée en dehors de l'UE est donc concernée par le RGPD aussi longtemps qu'elle traitera des données appartenant aux personnes habitant dans l’un des pays membre de l’Union européenne.

La nouvelle loi impose aux entreprises d’informer de manière compréhensible, accessible et avec des termes clairs et simples la manière dont elles manipulent les données des utilisateurs. Par conséquent, les organisations qui avaient l’habitude malsaine de collecter, d’utiliser et de revendre des données personnelles doivent aujourd’hui cesser cette pratique sous peine de subir des sanctions lourdes, même si la faute provenait d’une seule personne dans l’entreprise. Une société dont l’activité nécessite la collection d’informations personnelles doit obligatoirement renforcer sa politique de confidentialité auprès de ses employés.

Il est nécessaire de se conformer au RGPD, car toute entreprise ne respectant pas les règles et qui fait preuve d’abus pourrait subir une amende pouvant atteindre les 20 millions d’euros ou 4% du chiffre d’affaires annuel.

Une protection renforcée pour les particuliers

Les données personnelles divulguées aux entreprises ne seront plus traitées de la même manière puisque l’utilisateur gardera le contrôle sur l’usage de ses données.

Si vous résidez dans l'un des États membres de l'Union européenne et que vous estimez qu'une entreprise collecte et utilise vos données personnelles en contradiction avec la loi, vous pouvez introduire un recours auprès de la CNIL afin d'obtenir une réparation du préjudice subi. Avec le nouveau règlement s'ajoute également le droit à la portabilité des données pour les utilisateurs. Vous pouvez dorénavant réclamer vos données numériques pour un usage personnel ou demander un transfert d'un service à un autre gratuitement.

Donner le pouvoir à l’utilisateur pour être conforme au RGPD

Si vous avez moins de 250 salariés, affectez une équipe dédiée afin de vérifier la manière dont votre entreprise collecte et traite des données personnelles. Les grandes entreprises sont invitées à engager un DPO, délégué de la protection des données. Dans tous les cas, vous devez vous assurer que les informations collectées soient traitées de manière légale, transparente et dans un objectif bien précis.

Désormais, vous devez traiter les demandes de modification ou suppression plus rapidement, donner aux utilisateurs la possibilité de contrôler leurs informations numériques, de choisir ce qu’ils veulent partager et d’accéder au suivi du traitement de leurs données personnelles.

Exit donc l’imposition aux internautes d’accepter bêtement les cookies ! Vous devez mettre à leur disposition un outil de gestion des cookies afin de réduire l’impact de ces traceurs à des fins publicitaires. Certaines actions du marketing digital sont également à revoir, comme le fait de proposer des contenus gratuits contre une inscription pour ensuite envoyer des mailings à la personne, sans lui avoir demandé l’autorisation en amont. Ceux qui faisaient jusqu’à aujourd’hui des cases pré-cochées doivent désormais laisser à l’utilisateur la liberté de choisir consciencieusement l’action qu’il souhaite faire, etc.

Vous l’aurez compris, le consentement de l’utilisateur doit être une action active et positive plutôt qu'une acceptation passive à l’image de certains modèles actuels. Il est à noter que la personne concernée a le droit de retirer à tout moment son consentement. Là encore, vous avez la responsabilité de lui en informer de manière explicite.

Quelles actions concrètes mettre en place dans le cadre du RGPD ?

Nommer une personne qui sera en charge de contrôler la conformité du traitement des données personnelles dans l’entreprise, et qui sera le contact privilégié de la CNIL.

Tenir un registre détaillé afin de garder une trace du comment, quand, pourquoi des données ont été collectées, la date du consentement de la personne concernée et l’historique de l’utilisation des données.

Former l’équipe en interne afin de garantir le respect de la protection des données dans toutes les étapes du traitement des informations de l’utilisateur.

Mettre en place des outils accessibles permettant aux utilisateurs de mieux contrôler leurs données personnelles.

Ne rien imposer et permettre aux utilisateurs de choisir ce qu’ils souhaitent partager ou non.

Permettre aux utilisateurs d’avoir un accès direct et sécurisé pour qu'ils puissent vérifier quelles informations sont stockées et combien de temps, pourquoi ces données sont traitées, et qui peut les voir.

Informer l’utilisateur de son droit à l’oubli si la sauvegarde de ses informations n’est plus pertinente, de pouvoir demander que ses données soient rectifiées ou supprimées librement et de revenir sur son consentement initial.

Et que faire en cas de cyberattaque avec la nouvelle loi de protection de données ?

En cas de piratage informatique, le RGPD stipule que vous devez informer les personnes concernées par la violation des donnéeset avertir la CNIL dans les 72h suivants la date à laquelle vous prenez connaissance des faits. Il est alors important de décrire la nature des données et le nombre de personnes concernées, les conséquences de cette attaque pour les victimes, les actions déjà exécutées ou que vous comptez mettre en place pour corriger le problème. Ceux qui ne respectent pas le délai des 72h risquent une pénalité pouvant atteindre 2% de leur CA annuel, mais les sanctions restent tout de même proportionnelles à la violation.