Le 25 mai 2018, le règlement général sur la protection des données (RGPD) entrera en vigueur. Il s’agit de la nouvelle réglementation entourant les entreprises, organisations et institutions qui collectent des données d’utilisateurs. Le RGPD sera applicable dans l’ensemble de l’Union européenne. Dans cet article, nous faisons le point sur ces nouvelles mesures et répondons aux interrogations des particuliers et organismes.
Qu’est-ce que le RGPD ?
Le RGPD (ou GDPR en anglais), pour règlement général sur la protection des données, ou règlement nº2016/679, est le nouveau règlement qui entoure la protection des données personnelles des résidents de l’Union Européenne (UE). Il s’agit d’un règlement à portée mondiale, car il devra être appliqué par l’ensemble des organismes traitant les données personnelles des résidents de l’UE.
L’objectif du RGPD est de redonner, aux citoyens des pays membres, le contrôle de leurs données à caractère personnel.
Le 27 avril 2016, le projet de loi parait dans le Journal Officiel de l’UE. Il permet, ainsi, aux entreprises et autres organisations, de se préparer à cette nouvelle réglementation qui entrera en vigueur le 25 mai 2018. Celle-ci constitue, pour l’ensemble des pays de l’UE, un socle commun concernant la protection des données. Les pays conservent, cependant, un droit d’ajustement concernant une cinquantaine de points du RGPD.
Parmi ces points, on trouve, par exemple, l’âge légal auquel un mineur pourra accéder aux services des sociétés d’informations¹ (réseaux sociaux).
« Le règlement fixe l’âge de ce consentement à 16 ans pour l’accès à des services, mais permet aux États d’abaisser cette limite jusqu’à 13 ans.» (Source)
Les droits obtenus avec le RGPD.
Ce RGPD permet aux résidents des pays membres d’obtenir de nouveaux droits.
- Un consentement clair et sans ambiguïté de l’utilisateur, concernant la collecte de ses données, sera exigé.
- Un accès facile aux données personnelles, qui auront été recueillies, sera imposé.
- Des actions de groupe seront rendues possibles. Plusieurs personnes, concernées par le même problème, auront, ainsi, la possibilité de mandater des organismes ou associations, qui pourront porter réclamation, en leur nom, auprès des autorités concernées.
- Les utilisateurs auront le droit de transférer leurs données personnelles vers une autre plateforme de leur choix.
- Ils auront, en outre, le droit à la rectification, à l’effacement et à l’oubli.
- Dans le cas où des données personnelles auraient été piratées et qu’un problème, les impliquant, surviendrait, l’utilisateur devra en être informé.
- Les utilisateurs auront, désormais, le droit d’objecter sur le fait que leurs données personnelles sont utilisées à des fins de profilage. Par exemple, il leur sera possible de refuser que l’on utilise ces données afin de leur montrer des publicités adaptées à leur profil, comme le font les réseaux sociaux. Il faut savoir, néanmoins, que cela n’empêchera pas le réseau social de montrer des publicités à ses utilisateurs.
De même si un employeur souhaite instaurer un système de contrôle, pour un accès internet au travail. Il devra obligatoirement en avertir les personnes concernées et solliciter leur autorisation au préalable.
Quels organismes doivent respecter le RGPD ?
Le RGPD s’applique aux organismes qui traitent² des données à caractère personnel d’un résident de l’UE. La règle reste la même si le lieu du traitement des données est situé hors UE. Il en va de même si l’organisme sous-traite la gestion de ces données.
Il faut bien comprendre que toutes les entreprises, quelle que soit leur taille, sont soumises au RGPD. TPE (toutes petites entreprises), PME (petites et moyennes entreprises) et grandes entreprises, sont, toutes, placées à la même enseigne. Un traitement allégé existe, cependant, pour les entreprises qui comptent moins de 250 employés.
De plus, les autorités compétentes ne sont pas tenues de suivre le RGPD, comme mentionné dans son chapitre 1, article 2.
« les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces »
En tant qu’organisme, que dois-je faire ?
Voici les directives, à mettre en place, pour les organismes qui doivent se conformer au RGPD.
#1 Constituez un registre.
#2 Triez vos données.
Certaines données ne sont pas nécessaires. D’après le RGDP, vous ne devez récolter que les données nécessaires. À l’aide du registre de vos données, vous allez pouvoir trier celles-ci : d’une part celles qui sont nécessaires, d’autre part, celles qui ne le sont pas.
#3 Respectez le droit des personnes.
Vous avez, désormais, des obligations légales, à l’égard des individus dont vous traitez les données.
Vous devez expliquer :
- Pourquoi vous collectez ces données.
- Le format juridique qui vous autorise à collecter ces données.
- Qui aura accès à ces données.
- Le temps que vous allez conserver ces données.
- Comment les personnes peuvent exercer leurs droits. Par exemple, comment elles peuvent savoir quelles données vous avez sur elles.
- Où les données sont traitées. Par exemple, aux Etats-Unis.
Vous devez, également, faire en sorte que les personnes puissent, facilement, exercer leurs droits. De plus, vous devez prévenir les individus si leurs données ont été dérobées.
#4 Sécurisez vos données.
Désignation d’un Délégué à la protection des données.
Pour vous aider à appliquer toutes ces mesures, vous pouvez désigner un délégué à la protection des données (DPD ou DPO). Pour les plus grandes entreprises, le DPD est obligatoire.
Le DPD doit s’assurer que le responsable du traitement des données (ou sous-traitant) suit les directives du RGPD. Il s’assure des bonnes pratiques de l’organisme. Le DPD n’est pas responsable en cas de non respect des RGPD par l’organisme. La responsabilité incombe au responsable du traitement, ou sous-traitant, et organisme.
Le DPD est obligatoire pour:
- Les organismes publics.
- Les grandes organisations qui traitent beaucoup de données personnelles.
- Les organismes qui traitent des données sensibles comme par exemple les hôpitaux.
Vous retrouverez l’ensemble de ces directives sur le site de la CNIL.
Quels sont les risques encourus par les organisations qui ne respectent pas le RGPD ?
Des sanctions, pouvant aller jusqu’à 20 millions d’euros ou bien 4 % du chiffre d’affaires annuel, sont prévues dans le RGPD. Le montant le plus élevé étant retenu.
Pour information, le chiffre d’affaires de Facebook, pour le quatrième trimestre 2017, est de 13 milliards. Nous vous laissons imaginer les pertes, pour les grosses entreprises, en cas d’infraction.
Le RGPD représente une évolution de la loi informatique et libertés. Il est la réponse de l’UE au défi de ce monde digital en perpétuelle évolution4.
Ce nouveau règlement octroie plus de droits aux individus et pousse les entreprises à plus de transparence. Nous espérons, à travers cet article, vous avoir apporté assez de renseignements pour que vous compreniez, au mieux, ce nouveau règlement.
SB
Mots clés : Marketing digital, RGPD.
(1) En France, l’âge légal minimum, pour les mineurs, est fixé à 15 ans.
(2) « les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces »
(3) La CNIL « accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.» Source : https://www.cnil.fr/fr/la-cnil-en-france
(4) Vous pouvez consulter cet article pour connaitre les raisons qui poussent les réseaux sociaux à collecter nos données.