LE 25 MAI ENTRERA EN VIGUEUR LA NOUVELLE LOI SUR LE RGPD

Le 25 mai prochain entrera en vigueur le règlement général sur la protection des données (plus communément appelé RGPD). Vous en avez sûrement entendu parler ces derniers temps. Surtout depuis le récent scandale lié à la protection des données, qui a ébranlé Facebook. Notre équipe a assisté, jeudi 12 avril dernier, à une conférence à la CCI de Bayonne. Animée par Maître Sophie Lalande, avocate au Barreau et Monsieur Olivier Houlet, intégrateur de solution GRC en entreprise, nous avons pu en savoir un peu plus sur ce fameux RGPD.

Cette loi va imposer certaines règles sur l’ensemble des sites internet dans l’Union Européenne. Des changements sur la manière de collecter les données sur vos sites internet vont alors s’imposer. L’équipe de Redbox Communication se met à votre disposition pour échanger avec vous sur la mise en place des ces nouvelles normes sur votre site internet.

Le RGPD, c’est quoi ?

Ce règlement a été adopté le 14 avril 2016 par le parlement Européen. Il vise à contrôler le traitement et la circulation des données à caractère personnel et va s’appliquer à l’ensemble des 28 états membres de l’union Européenne.

La valeur des données

La donnée prend, de jour en jour, une place de plus importante dans notre vie au quotidien. Smartphones, objets connectés, caméras de vidéo-surveillance, GPS, de nombreuses données nous concernant sont récupérées, parfois, à notre insu. Ces données, collectées sur les réseaux sociaux ou sur internet, valent de l’or. Revendues aux annonceurs, elles leur permettent de nous cibler pour leurs campagnes publicitaires. En 2015, elles ont rapporté 17 milliards de dollars à Facebook. Nous sommes donc tous concernés, aujourd’hui, par le RGPD.

Le RGPD et les données personnelles

Face à la course à la donnée, le but premier du RGPD est de protéger les libertés et droits fondamentaux des personnes physiques, donc la protection des données à caractère personnel. Pour rappel, une donnée à caractère personnel est “ toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement”. Cela peut être un nom, une photo, un numéro de téléphone, une adresse IP, etc. Si le regroupement de plusieurs informations (âge, ville, sexe) permet d’identifier une personne, alors ces données sont considérées comme personnelles.

Le RGPD, à qui s’applique-t-il ?

• Toute organisation ou entreprise (y compris ses sous-traitants) de l’union européenne qui traitent des données à caractère personnel dans le cadre de ses activités, même si le traitement des données à lieu en dehors de l’Union européenne.

• Les entreprises en dehors de l’Union européenne qui proposent des services et biens pour l’UE.

• Les associations qui sont amenées à collecter des informations personnelles concernant leurs membres, bénévoles, adhérents.

Pour faire simple, toutes les entreprises qui récoltent et traitent les données de personnes physiques situées sur le territoire de l’Union Européenne sont concernées. Le traitement des données est autorisé mais, il faut que la personne concernée sache quelles données sont utilisées, à quelles fins, à qui seront-elles transmises, etc. Le maître mot est, ici, la transparence.

Comment se préparer au RGPD pour son entreprise ?

Désigner un DPD

Pour gérer et piloter les données au sein de votre structure, il faudra désigner un responsable : le délégué à la protection des données (DPD ou DPO en anglais). Il exercera une mission d’information, de conseil et de contrôle en interne. Il sera l’interlocuteur principal avec la CNIL en cas de besoin et il faudra le déclarer auprès de l’autorité administrative.

La désignation d’un DPD est obligatoire lorsque vous êtes :

• Une autorité ou un organisme public

• Un organisme dont l’activité de base est le traitement régulier des données

• Un organisme qui traite des données sensibles

Le DPD peut-être une personne en interne dans l’entreprise. Attention toutefois aux conflits d'intérêts puisque cette personne sera chargée, dans le pire des cas, de dénoncer des manquements à la CNIL. Il faut qu’il soit également apte à interagir avec la Direction Générale. Dans les grandes entreprises, le DPD peut-être un poste à part au sein de l’entreprise.

Pour les petites sociétés, il est donc préférable d’opter pour un DPD externe qui sera spécialisé dans le domaine et qui pourra mener une veille constante. Cette personne doit avoir des connaissances spécialisées en matière de protection des données. Il est donc compliqué d’embaucher une personne dédiée à ce rôle dans les petites structures.

Cartographier les données/traitements

Il va falloir, ensuite, que le DPD recense de façon précise les traitements de données personnelles qui existent dans l’entreprise. Pour ça, il devra tenir un registre des traitements. Son contenu devra expliquer :

• La finalité du traitement (pourquoi ?)

• Les données à caractère personnel concernées (catégorie, description, durée de conservation, etc.)

• Les personnes concernées par ce traitement

• Le(s) destinataire(s) de ce traitement (interne, externe, sous traitance, etc)

• Le service en charge du traitement (nom du service, responsable, etc)

• Le support associé (logiciel, base de données, document papier)

• Si un transfert hors de l’UE est prévu

• Les mesures de sécurité prévues

Sensibiliser le personnel

Les données à caractère personnel nous concernent tous. Au sein de votre société, il faudra faire prendre conscience à tous les utilisateurs des enjeux à venir en matière de sécurité et de vie privée.

Ainsi, il faudra former le personnel à la gestion des données personnelles, à la sécurité informatique, aux risques de fuite… Vous pourrez, par exemple, rédiger une charte informatique au sein de votre entité, documenter les procédure d’exploitation, effectuer une veille technologique sur la protection des données et tenir au courant les membres de votre entreprise, organiser des séances de sensibilisation, etc.

Se mettre en conformité

Une fois que le DPD a été désigné, il faudra analyser les écarts qui peuvent exister entre la gestion des données dans l’entreprise et ce que prévoit la réglementation. Ainsi, vous pourrez définir un plan d’action à mener pour se mettre aux normes.

Dans ce plan d’action, il faudra penser à optimiser la gestion des données à caractère personnel (ne récupérer que les données utiles par exemple) puis mettre à jour la documentation. Ensuite, il faudra éventuellement modifier le registre des traitements et continuer la sensibilisation déjà entamée auprès de votre équipe.

Il faudra également se rapprocher de votre juriste pour mettre à jour les conditions générales d’utilisation et conditions générales de vente de votre entreprise. Celles-ci devront expliquer clairement, avec des mots simples, quelles données sont collectées et pour quelles finalités.

Quels risques si le RGPD n’est pas respecté ?

Dans un premier temps, si une ou plusieurs obligations imposées par le RGPD ne sont pas respectées, la CNIL est susceptible d’intervenir pour alerter les intéressés des irrégularités constatées, et les obliger à se mettre rapidement en conformité.

Puis, si la situation n’est pas régularisée, la CNIL peut mettre en demeure l’entreprise concernée. L’étape d’après peut aller jusqu’à la limitation voire la suspension temporaire du traitement sur les données.

Si ces premières mesures ne suffisent toujours pas, le CNIL se donne le droit d’infliger des amendes aux entreprises qui ne se plient pas aux règles du RGPD. Elles pourront être de deux types, selon la gravité des faits reprochés :

• 2% du chiffre d'affaire de l’entreprise litigieuse ou 10 millions d’euros d’amende (non respect des formalités préalables à la mise en œuvre des traitements, violation des obligations concernant la sécurité des données stockées par le responsable d’un traitement, etc.)

• 4% du chiffre d'affaire de l’entreprise litigieuse ou 20 millions d’euros d’amende (défaut de consentement, traitements de données illégaux, non-respect des droits des personnes, manque de prudence lors des transferts transfrontaliers de données, ou refus d’obtempérer face aux injonctions de la CNIL).

Toutefois, les risques financiers ne sont pas les seuls. En effet, une entreprise qui serait sanctionnée pourrait perdre la confiance d’une partie de ses clients si l’information était publiée. Ce qui pourrait s’avérer fatal pour le business de la société en question.

Les bénéfices pour l’entreprise ?

Ne voyez pas le RGPD comme une contrainte. Prenez-le comme une occasion de renforcer votre relation de confiance avec le client.

En effet, en respectant le RGPD, vous vous engagez à avoir une éthique dans le traitement de la donnée. Votre relation de confiance avec le client n’en sera que plus renforcée.

Du point de vue de l’entreprise, le RGPD est également une opportunité pour classer, et cataloguer toutes les données dont on dispose. Avec toujours, dans un coin de la tête, l’idée que la culture de la donnée est une culture gagnante...

En conclusion, le RGPD est une opportunité pour améliorer à la fois votre business et votre relation de confiance avec vos clients et futurs clients.