À partir du 25 mai 2018, toutes les entreprises devront se plier aux règles du Règlement Général sur la Protection des Données. Appelé le RGPD, ce règlement met plusieurs principes en avant. Cela fait maintenant deux ans qu’on entend parler du RGPD, connu comme le GDPR en anglais. Ces acronymes concernent le traitement et la circulation de données à caractère personnel. Il s’agit du nouveau cadre européen visant à couvrir l’ensemble des résidents de l’Union européenne. Mieux comprendre le RGPD, c’est possible !
Sommaire
Le RGPD, c’est quoi au juste ?
Alors le Règlement Général sur la Protection des Données est un règlement du Parlement européen. Il fait partie du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la circulation de celles-ci. Cette nouvelle mesure donne suite à la directive sur la protection des données personnelles de 1995. Elle concerne tous les acteurs qui collectent des données personnelles de clients et de prospects. Associations, entreprises, administrations, collectivités locales et syndicats entreprises sont tous visés par ce règlement.
Définition de la donnée personnelle
On appelle une donnée personnelle une information qui permet d’identifier une personne physique directement ou indirectement. Les données personnelles peuvent prendre plusieurs formes : photographies, noms, adresses IP, numéros de téléphone, identifiants de connexions informatiques, empreintes, enregistrements vocaux, numéros de Sécurité sociale, mails ou adresses postales, entre autres.
Il s’agit de données personnelles qui peuvent toucher à des informations donnant lieu à la discrimination ou aux préjugés. Elles sont, par conséquent, sensibles. Selon la CNIL, toute opinion politique et religieuse, situation médicale, idée philosophique et appartenance ethnique sont considérées comme des données personnelles. Elles ne peuvent être collectées sans consentement écrit, clair et explicite.
L’objectif du Règlement Général sur la Protection des Données
Devenir le nouveau texte de référence dans l’Union européenne au sujet des données personnelles, tel est le principal objectif du Règlement Général sur la Protection des Données. Il était plus que jamais nécessaire d’actualiser le texte de 1995 en raison de la mise en place de nouveaux modèles économiques et de l’explosion du numérique. Son objectif est aussi de rendre le cadre qui touche l’ensemble des États membres plus harmonieux.
Il vient gommer les différences qui existent entre les directives des différents pays. C’est une loi européenne qui s’applique aux États membres de façon uniforme. Les objectifs et les délais seront les mêmes pour tous. Rappelons que par le biais de la directive 95/46/CE, les citoyens européens se voyaient octroyer un droit d’accès, de rectification et d’opposition portant sur les informations les concernant et qui ont été collectées avec leur consentement.
Quelles obligations pour les entreprises ?
L’objectif est de développer la notion de responsabilisation auprès des collecteurs de données et des collectés. Les entreprises devront obligatoirement se plier aux règles et mettre en avant les aménagements et techniques nécessaires pour y arriver. Elles auront à mettre en place un système d’autocontrôle, c’est-à-dire tenir un registre des traitements de données et réaliser des études d’impact. Elles doivent savoir exactement de quelles données elles disposent. Les principales obligations de la RGPD sont les suivantes :
- Toute gestion de données personnelles doit se faire avec l’approbation de la personne.
- La collecte des données fait l’objet d’une limitation des finalités. Cela veut dire que les entreprises doivent collecter les données seulement en fonction de leurs besoins réels. Elles doivent mettre en place des procédures de suppression des données anciennes et doivent limiter la conservation des données afin de préserver la confidentialité.
- Tous les citoyens ont le droit de rectification et le droit à l’oubli en ce qui concerne leurs données. Ils seront en mesure de les contrôler.
- Les entreprises doivent être en mesure de déceler si leur intégrité est compromise. Elles doivent pouvoir y remédier promptement et notifier l’événement.
- Si une entreprise compte plus de 250 salariés, elle doit obligatoirement tenir un registre actualisé de ses traitements de données personnelles. Elle doit recenser et tenir à jour les différents traitements de données personnelles, les catégories de données traitées, les objectifs des différentes opérations de traitements et les acteurs qui traitent ces données.
Les entreprises devront vérifier toutes les données personnelles en leur possession. Elles doivent également vérifier les contrats des sous-traitants et s’assurer qu’ils soient tous engagés sur la voie de la conformité. Si besoin, vous aurez à insérer des clauses contractuelles en relation avec les nouvelles obligations. Ce n’est pas tout, car vous serez également tenus de rédiger une charte de bonnes pratiques pour rappeler aux employés qu’il faut respecter le règlement.
Si une entreprise ne respecte pas les obligations du RGPD, elle devra payer des amendes administratives dont le montant sera entre 2 à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent. Bien entendu, la sanction prévoir de retenir le montant le plus élevé. Il est donc très important de respecter les obligations de ce règlement.
Les droits des citoyens seront renforcés
Enfin, le RGPD est certes strict, mais il se veut surtout plus rassurant et plus sécurisant pour tous. En effet, à compter du 25 mai prochain, les droits des citoyens vont être étendus et renforcés. Il sera désormais plus facile de contrôler les traces numériques et d’agir dessus, si nécessaire. Même les mineurs devront être informés sur l’utilisation de leurs données. Tous les citoyens pourront faire jouer leur droit et réclamer une limitation du traitement. Ils pourront également demander à récupérer leurs données et exiger réparation en cas de violation du règlement.
Pour plus d’informations, suivez ce lien : https://www.cnil.fr/fr/comprendre-le-reglement-europeen