Règlement européen sur la protection des données : ce qui va changer

Paru en 2016 au journal officiel de l’Union Européenne, le nouveau règlement européen sur la protection des données personnelles (aussi appelé Règlement Général sur la Protection des Données ou RGPD) entrera en application le 25 mai 2018, autrement dit dans 6 mois ! Le but de ce texte : protéger les personnes physiques de toute exploitation frauduleuse ou non-désirée de leurs données personnelles. Si cela semble simple sur le papier, cette nouvelle réglementation va en réalité bouleverser les pratiques de nombreuses entreprises françaises.
Quels changements va entraîner le RGPD ? Et comment s’y préparer ? Résumé en 5 points.
1 ) Qu’entend-on par données personnelles ?
Le règlement européen sur la protection des données personnelles stipule qu’il s’agit de « toute information concernant une personne physique identifiée ou identifiable ». Ce sont, en pratique, les données relatives à la vie privée, professionnelle ou publique d’une personne : son nom, son adresse, son numéro de téléphone, son courriel, son adresse IP, son identifiant, etc.
2 ) Règlement européen sur la protection des données personnelles : qui est concerné ?
Le RGPD s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».
Ce règlement concerne tout organisme stockant ou traitant des données personnelles (y compris les sous-traitants) et :
- ayant un établissement dans l’Union Européenne,
- ou proposant des biens ou services visant des personnes qui se trouvent sur le territoire de l’Union Européenne (les actions marketing et de profilage son également concernées).
3 ) Que change ce règlement pour les entreprises ?
Le règlement européen sur la protection des données personnelles renforce, d’une part, les droits des personnes déjà reconnus par la loi Informatique et libertés adoptée en 1978 en France :
- le consentement clair et explicite concernant l’utilisation des données. Les utilisateurs doivent être informés de l’usage de leurs données et doivent donner leur accord au préalable ou pouvoir s’y opposer.
- Un stockage limité dans le temps. La durée de conservation des données est établie au préalable. Les données qui ne sont plus utilisées doivent être supprimées.
- Le droit à l’oubli. Après avoir donné leur accord, les personnes disposent de droits qu’elles peuvent exercer auprès de la structure qui détient leurs données, notamment : le droit à y accéder, à les rectifier ou à les faire supprimer.
- La mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par le traitement de données.
Le RGPD introduit, d’autre part, un certain nombre de nouveaux droits et principes, dont voici les principaux :
- le droit à la portabilité des données. Une personne peut récupérer les données qu’elle a fournies (sous une forme aisément réutilisable) et les transférer à un autre opérateur.
- Le renforcement de la protection des mineurs. La législation comporte des dispositions spécifiques encadrant le droit des mineurs de moins de 16 ans. Les informations concernant le traitement de leurs données doivent être rédigées en des termes simples et clairs, qu’un enfant peut comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Devenu adulte, le consentement doit pouvoir être retiré et les données effacées.
- Le principe des actions collectives. Des associations auront dorénavant la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.
- Le droit d’être informé en cas de piratage des données personnelles. Et ce, sous 24h.
- Le droit à la réparation des dommages. Tout personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir réparation du préjudice subi.
- La désignation d’un responsable des données personnelles. Dans certaines structures, un délégué à la protection des données (DPO) devra être nommé afin de garantir la conformité du règlement. Celui-ci doit pouvoir, à tout moment, être contacté par la Cnil (Commission nationale de l’informatique et des libertés) ou une autre autorité de contrôle.
Le respect de ce règlement doit, enfin, se traduire par la mise en place de certains dispositifs et procédures :
- une démarche de Privacy by design. Les données personnelles devront être identifiées directement en tant que telles dans le système de l’entreprise qui les traite afin de limiter leur accès. C’est donc dès la conception intellectuelle et technique des outils de traitement que cette notion doit être intégrée.
- Une démarche de Security by default. Par défaut, les données devront être discriminées pour n’utiliser que celles qui sont strictement nécessaires à la finalité poursuivie.
- Une démarche d’accountibility. Le responsable du traitement des données personnelles doit disposer de registres décrivant tous les traitements appliqués aux données, afin de pouvoir démontrer à tout moment que la protection des données personnelles au sein de la structure est optimale.
4 ) Quelles sanctions en cas de non-respect ?
En cas de méconnaissance des dispositions du RGPD, les entreprises, comme leurs sous-traitants, peuvent faire l’objet de sanctions administratives, allant du simple avertissement à l’amende salée !
À quelles sanctions s’exposent-elles au juste ?
- L’avertissement,
- la mise en demeure,
- la limitation définitive ou temporaire du traitement des données,
- la suspension du flux de données,
- la rectification, la limitation ou l’effacement des données,
- des amendes pouvant s’élever, selon la catégorie de l’infraction, de 10 à 20 millions d’euros ou, dans le cas d’une entreprise, de 2 à 4 % du chiffre d’affaires annuel.
- l’indemnisation, par l’entreprise fautive, des personnes concernées par un mauvais traitement de leurs données personnelles.
5 ) M – 6 : comment s’y préparer ?
La mise en conformité demande de revoir le fonctionnement de tous les services touchant aux données personnelles. La Cnil recommande de procéder par étapes.
- Étape 1 : désigner un pilote. Ce « correspondant informatique et libertés » exercera une mission d’information, de conseil et de contrôle en interne.
- Étape 2 : réaliser un inventaire des traitements de données personnelles mis en œuvre dans l’entreprise et évaluer leur criticité.
- Étape 3 : identifier les actions à mener pour se conformer aux futures obligations et les prioriser, au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées.
- Étape 4 : pour les traitement à risques élevés, mener une analyse d’impact sur la protection des données (PIA).
- Étape 5 : organiser des procédures internes afin d’assurer en permanence un haut niveau de protection des données personnelles. Cela suggère d’envisager tous les scénarios et écarts potentiels : faille de sécurité, gestion des réclamations et des plaintes, modification des données collectées…
- Étape 6 : maintenir une documentation assurant la traçabilité et l’actualisation des mesures.
Et vous ?
Comment vous organisez-vous pour être en conformité d’ici 6 mois ? Témoignez sur Entreprise-environnement.org, en vous rendant sur l’onglet « Publiez ».