RGPD : entrepreneurs, êtes-vous aux normes ?

La protection de données personnelles des pays membres de l’UE était communément basée sur la directive européenne du 24 octobre 1995. Cette dernière couvrait la liberté de circulation des données personnelles en limitant les divergences entre les législations nationales. En 2012, la Commission européenne a proposé une révision de cette loi afin d'intégrer les échanges de données personnelles liés à la technologie, notamment sur Internet et le Cloud. Il aura fallu quatre ans de négociations législatives pour que ce projet de loi soit finalement promulgué le 14 avril 2016. Le projet de loi relatif à  la protection des données personnelles est entré en vigueur le 25 mai 2018.

Un profond changement s’est donc opéré, permettant à tous les utilisateurs de reprendre le contrôle de leurs données personnelles. Le RGPD permet également de mieux encadrer les entreprises qui collectent et traitent ces données.

Le Règlement général sur la protection des données personnelles (RGPD) uniformise en effet la législation en matière d’échanges de données personnelles dans l’Union européenne. Dans ce cadre, la responsabilité des entreprises dans la collecte et le traitement des informations personnelles est renforcée. Les entreprises doivent se mettre aux normes RGPD et s’assurer que sont respectées les règles en vigueur en termes de traitement des données personnelles, sous peine de s’exposer à des sanctions de l’autorité en charge : la Commission nationale de l’informatique et des libertés (CNIL).

Concrètement, qu’est-ce que cela implique et comment mettre en conformité votre entreprise ?

Le traitement des données personnelles : de quoi s’agit-il ?

Une donnée est à caractère personnel à partir du moment où elle permet d’identifier directement ou indirectement une personne physique.

Exemple : vous êtes restaurateur et vous livrez à domicile. Vos clients vous communiquent leur nom, adresse et code d’entrée de leur immeuble, vous stockez ces informations en ligne sur votre ordinateur. Si ces informations sont piratées ou perdues, elles peuvent être utilisées à des fins frauduleuses et tombées dans les mains de hackers.

Conséquence désastreuse pour vos clients qui voient des informations de leur vie privée divulguées et qui ne feront certainement plus appel à vos services. La sécurité de la data de l’entreprise est d’autant plus sensible si vous êtes par exemple un professionnel de santé.

Avec le RGPD, vous êtes tenu d’assurer la sécurité des données personnelles que vous détenez.

L’impact conséquent du RGPD pour les entreprises

L’objectif du RGPD est d’unifier la façon dont les entreprises traitent les informations, en veillant à ce que toutes les lois sur la protection des données soient exécutées de la même manière dans toute l’UE. Cela tout en veillant à ce que toutes les lois sur la protection des données soient respectées.

Les règles du RGPD s’applique aussi bien aux petites qu’aux grandes entreprises et à n’importe quel organisme traitant les données des résidents, même domicilié hors des frontières de l’Union européenne. Il n’existe pas de différences de traitements.

Une entreprise, même sous-traitante, basée en dehors de l'UE est donc concernée par le RGPD, dès lors qu'elle traite des données appartenant aux personnes habitant dans l’un des pays membres de l’Union européenne. Une entreprise, même sous-traitante, basée en dehors de l'UE est donc concernée par le RGPD et soumise au droit européen. Il faut donc peser sciemment les décisions que vous faites en choisissant de confier certaines missions à des entreprises domiciliées en dehors de l’Union Européenne.

Cette loi sur la réglementation des données personnelles impose aux entreprises de transmettre l’information de manière compréhensible, accessible et avec des termes clairs et simples la manière dont elles manipulent les données des utilisateurs. Par conséquent, les organisations qui avaient l’habitude malsaine de collecter, d’utiliser, de revendre des données personnelles doivent évidemment cesser cette pratique sous peine de subir des sanctions lourdes, même si la faute provenait d’une seule personne dans l’entreprise.

Une société dont l’activité nécessite la collection d’informations personnelles doit obligatoirement renforcer sa politique de confidentialité auprès de ses employés. La récolte de données personnelles sans consentement explicite et à des fins de revente est interdite.

Il est nécessaire de se conformer au RGPD, car toute entreprise ne respectant pas les règles et qui fait preuve d’abus peut subir une amende de plusieurs 0 millions d’euros ou d’un certain pourcentage de son chiffre d’affaires annuel.

Une protection renforcée pour les particuliers

Les données personnelles divulguées aux entreprises ne seront plus traitées de la même manière puisque l’utilisateur gardera le contrôle sur l’usage de ses données.

Si vous résidez dans l'un des États membres de l'Union européenne et que vous estimez qu'une entreprise collecte et utilise vos données personnelles en contradiction avec la loi, vous pouvez vous aussi faire valoir vos droits en déposant un recours auprès de la CNIL pour obtenir une réparation du préjudice subi et faire respecter le RGPD en vigueur. Ce règlement ajoute également le droit à la portabilité des données pour les utilisateurs. Vous pouvez réclamer vos données numériques pour un usage personnel ou demander un transfert d'un service à un autre gratuitement.

Qui est soumis au RGPD ?

TPE, PME, indépendants, comme toute entreprise de moins de 250 salariés, il est nécessaire d’affecter une équipe dédiée afin de vérifier la manière dont votre entreprise collecte et traite les données personnelles. Une formation sera nécessaire si votre entreprise est novice en la matière. Reportez-vous à la norme ISO 27701 pour en savoir plus.

De plus vous devez traiter les demandes de modification ou de suppression rapidement, donner aux utilisateurs la possibilité de contrôler leurs informations numériques, c’est-à-dire, choisir ce qu’ils veulent partager et leur permettre d’accéder au suivi du traitement de leurs données personnelles.

Impossible donc d’imposer  aux internautes d’accepter les cookies sans leur consentement.  Vous devez mettre à leur disposition un outil de gestion des cookies afin de réduire l’impact de ces traceurs à des fins publicitaires. Certaines actions du marketing digital sont également à surveiller , comme le fait de proposer des contenus gratuits contre une inscription pour ensuite envoyer des mailings à la personne, sans lui avoir demandé l’autorisation en amont (opt-in).  Ainsi, les cases pré-cochées doivent laisser à l’utilisateur la liberté de choisir consciencieusement l’action qu’il souhaite faire, etc.

Vous l’aurez compris, le consentement de l’utilisateur doit être une action active et positive plutôt qu'une acceptation passive. Il est à noter que la personne concernée a le droit de retirer à tout moment son consentement. Là encore, vous avez la responsabilité de lui en informer de manière explicite.

Comment mettre en place le rgpd dans une entreprise  ?

L’entrée en vigueur du RGPD a imposé de nouvelles obligations aux entreprises :

  1. Dans un premier temps, il faudra effectuer un état des lieux des outils informatiques visant à récolter des données numériques. Dans la plupart des cas, il s’agira de formulaires tantôt pour l’adhésion à une newsletter, tantôt pour s’inscrire sur votre site… Et corrigez tout ce qui ne correspond pas à la réglementation. Pensez RGPD pour la mise en place de nouveaux outils de collecte de données. En étant « RGPD by design », ils seront d’emblée conformes.
  2. Si les entreprises de moins de 250 salariés sont exemptées de la tenue d’un registre visant à consigner leurs activités de traitement des données, il est toutefois conseillé d’en créer un en interne. Il permettra de renseigner la nature des données récoltées, la durée de stockage de celles-ci, la manière dont elles sont stockées et l’usage visé par chacune d’entre elles.
  3. Mettre en place des outils accessibles permettant aux utilisateurs de mieux contrôler leurs données personnelles.
  4. Ne rien imposer et laisser aux utilisateurs le droit de décider ce qu’ils souhaitent partager ou non. Permettre aux utilisateurs d’avoir un accès direct et sécurisé pour qu'ils puissent vérifier quelles informations sont stockées et combien de temps, pourquoi ces données sont traitées, et qui peut les voir.
  5. Informer l’utilisateur de son droit à l’oubli si la sauvegarde de ses informations n’est plus pertinente, de pouvoir demander que ses données soient rectifiées ou supprimées librement et de revenir sur son consentement initial.
  6. Assurer la sécurité des données personnelles que l’entreprise récolte. Des mesures de cybersécurité (antivirus, firewall…) seront, si ce n’est pas déjà le cas, mises en place par le responsable informatique.
  7. Former les collaborateurs afin de garantir le respect de la protection des données dans toutes les étapes du traitement des informations de l’utilisateur. Sensibiliser l’ensemble des personnes de l’entreprise sur les dangers des fuites de données personnelles.

Quelles protections pour les données personnelles de vos clients ?

La notion de consentement est désormais centrale dans la protection des données dû à l’entrée en vigueur du RGPD. Les données collectées doivent l’être de manière légale, transparente et dans un objectif précis. Dans tous les cas, l’utilisateur garde le contrôle total sur l’usage de ses données et peut retirer son consentement à tout moment. Avec le nouveau règlement s'ajoute également le droit à la portabilité des données pour les utilisateurs. Vos usagers peuvent désormais demander à récupérer leurs données pour leur usage personnel ou demander un transfert d'un service à un autre gratuitement. Le non-respect de ces règles expose à des sanctions de la CNIL.

Et que faire en cas de cyberattaque avec la nouvelle loi de protection de données ?

En cas de piratage informatique, le RGPD stipule que vous devez informer les personnes concernées par la violation des données et avertir la CNIL dans les 72h suivant la date à laquelle vous prenez connaissance des faits. Il est alors important de décrire la nature des données et le nombre de personnes concernées, les conséquences de cette cyberattaque pour les victimes, les actions déjà exécutées ou que vous comptez mettre en place pour corriger les conséquences de cette attaque informatique.

Les entreprises qui ne respectent pas le délai des 72h s’exposent à une sanction de la CNIL . Le montant des amendes reste tout de même proportionnel à la violation.