RGPD en 2018 : êtes-vous prêt ?
RGPD en 2018 : êtes-vous prêt ?
Le passage à la nouvelle année est l’occasion d’aborder une des nouveautés de 2018, à savoir la mise en place obligatoire du RGPD pour les entreprises au risque de s’exposer à de lourdes sanctions.
RGPD, qu'est-ce que c'est ?
Le RGPD, c’est le Règlement Général sur la Protection des Données. En anglais, GPDR alias General Data Protection Regulation. Encore un acronyme à retenir ! Plus sérieusement, c’est une loi entrée en vigueur le 25 mai 2016, visant à sécuriser les données personnelles des résidents de l’Union Européenne.
La France a été un des pionniers dans ce domaine, au travers de la loi Informatique et Liberté de 1978 pour commencer, et la fameuse CNIL. De nombreuses initiatives sont venues renforcer ce dispositif, dont la LCEN (Loi pour la Confiance dans l’Economie Numérique) ou plus récemment la Loi République Numérique.
Il était temps qu’un cadre législatif Européen émerge dans ce domaine et vienne harmoniser l’ensemble des mesures de chaque état membre, prises pour protéger les ressortissants de l’Union Européenne en matière de protection des données personnelles. C’est chose faite avec le RGPD.
Sur quoi porte cette protection ?
Cette loi vise à renforcer non seulement les droits des personnes dont les données personnelles sont détenues par des tiers, mais aussi les obligations de ces tiers détenteurs.
D’une manière générale, une donnée personnelle peut être définie comme toute information, sensible ou non, permettant d’identifier une personne physique, directement ou indirectement. Quelques exemples : nom, pseudonyme, identifiant, localisation, code client, numéro d’affiliation, numéro de carte bancaire …
Dans une économie hyper-connectée, il est clair que nous laissons nos données personnelles un peu partout et auprès de multiples acteurs : réseaux sociaux, sites e-commerce, administration en ligne, banque en ligne, partage de fichiers … et dans certains cas sans consentement. Il est par conséquent certain qu’à un moment ou un autre, nos données personnelles ou une partie de celles-ci vont fuiter. Le RGPD renforce les responsabilités et obligations des détenteurs de ces données, notamment au travers de lourdes sanctions dans le cas avéré d’une fuite de données de leur fait. Ces sanctions entreront en vigueur dans le cadre de cette loi à compter du 25 mai 2018.
Les sanctions prévues sont lourdes : pour les violations communes, jusqu’à 10M€ ou 2% du chiffre d’affaires annuel mondial consolidé et pour les violations majeures, jusqu’à 20M€ ou 4% du chiffre d’affaires annuel mondial consolidé, le montant le plus élevé entre les 2 cas étant retenu.
Quelles sont les implications pour les entreprises ?
Le RGPD vise donc à introduire des changements radicaux dans la manière dont les entreprises gèrent et traitent les données personnelles en leur possession, afin de renforcer la confidentialité et le contrôle de celles-ci. Le scope de cette loi est très large, puisqu’elle s’applique à toute entité détenant des données d’un ressortissent de l’UE. Autant dire qu’elle s’applique quasiment à l’échelle planétaire.
Pour faire face à ces nombreuses contraintes supplémentaires, un guichet unique sera mis à disposition des entreprises afin de faciliter leur démarche dans la mise en place de ces mesures.
Parmi les nouvelles obligations des entreprises, voici pêle-mêle les principales :
En bref
Avec la mise en place du RGPD, toute personne a le droit de recevoir une copie des données pour lesquelles elle a préalablement donné son consentement, de les modifier, de les transférer et de les effacer. L’entreprise a pour obligation de les communiquer dans un délai maximal d’un mois, de respecter le consentement préalable, de sécuriser les données, de restreindre et d’historiser leur traitement au minimum requis pour son activité, d’avertir publiquement de toute violation, au risque de s’exposer à de lourdes sanctions à compter du 25 mai 2018.
Recommandation
En ce qui concerne votre site internet et les données que celui-ci collecte, nous vous recommandons donc de créer une section « Vie Privée » distincte de vos conditions générales d’utilisation ou mentions légales génériques, mentionnant les informations suivantes :
En communiquant en toute transparence sur le sort que vous réservez aux données personnelles que vous collectez, conformément au RGPD, non seulement vous vous mettez en conformité avec cette règlementation Européenne, mais vous rassurerez aussi vos clients et utilisateurs et préserverez la réputation de votre entreprise.
Consultez l’intégralité du Règlement Général sur la Protection des Données en Français.