comprendre-le-rgpd

Le RGPD, entré en vigueur en mai 2018, vise avant tout à renforcer la vie privée des individus en protégeant mieux leurs données personnelles et en leur permettant d’obtenir un véritable droit de regard sur ces informations. En principe, les entreprises ont eu le temps de se préparer aux changements induits par le Règlement européen sur la protection des données, au sujet duquel la CNIL a communiqué un an avant son application. Mais dans les faits, de nombreux organismes et entités concernés n’ont pas encore mis en place les mesures nécessaires à une bonne conformité avec le RGPD. Alors, qui est concerné et comment appliquer les exigences du nouveau règlement européen sur la protection des données ?

Le RGPD : définition

Le RGPD, acronyme français de “Règlement Général sur la Protection des Données” (en anglais “General Data Protection Regulation”, est une nouvelle directive européenne obligeant les entreprises et les administrations à prendre plusieurs mesures concernant la collecte et le traitement des données personnelles. Le RGPD, qui a été adopté le 24 mai 2016, est réellement entré en vigueur le 25 mai 2018. Ce nouveau règlement, qui s’applique donc à tous les organismes, privés comme publics, vise également toutes les sociétés, quelle que soit leur taille, qui traitent directement, ou sous-traitent des données à caractère personnel.

Quels sont les objectifs du RGPD ?

Pour comprendre le RGPD, voici la marche à suivre. Les objectifs du RGPD sont les suivants :

  • uniformiser la protection des données personnelles dans toute l’Union européenne ;
  • mettre à jour le droit européen en matière de protection dans un environnement fortement digital ;
  • responsabiliser davantage les acteurs du traitement de données en favorisant leur auto-contrôle ;
  • renforcer la vie privée et les droits des personnes dont les données sont collectées : droit à l’accès et la modification, droit à la portabilité, droit à l’oubli, etc.

Qu’est-ce qu’une donnée personnelle et sur quels documents sont-elles présentées ?

Une donnée personnelle est une information se rapportant directement à un citoyen et permettant son identification. Le RGPD s’applique à toute donnée pouvant être rattachée à un citoyen européen, même si cette donnée est traitée par un organisme hors de l’Union européenne. Les données personnelles peuvent être présentes sur des documents tels que des factures, des fiches clients, des fiches de paie, des dossiers médicaux, des annuaires divers, des espaces clients de site e-commerce, etc. Quel que soit le format de stockage de ces données, numérique ou bien papier, toutes ces informations personnelles sont soumises aux exigences du RGPD. Pour savoir si votre entreprise traite des données à caractère personnel, une Data Visualisation interactive des informations récoltées par votre société au cours de ses diverses activités est très révélateur.

Quelles sont les obligations pour les entreprises concernées ?

D’un point de vue légal, même si la responsabilité de l’application du RGPD a été confiée à un tiers ou un prestataire, c’est bien le chef d’entreprise qui sera inquiété en cas de non-respect des dispositions du Règlement général sur la protection des données. En cas de violation du RGPD, les sanctions voulues par l’Union européenne et appliquées par la CNIL sont particulièrement sévères. Le RGPD prévoit en effet plusieurs amendes, administrative (pouvant aller jusqu’à 4% du chiffre d’affaires total d’une société), pénale au tribunal, et éventuellement des dommages et intérêts en cas de plainte déposée. Pour être en accord avec le RGPD, les organismes concernés doivent respecter certaines étapes, notamment :

  • Disposer d’un responsable de traitement des données, un DPO, en interne ou en externe.
  • Réduire un maximum la collecte des données à caractère personnel.
  • S’assurer que les personnes concernées par cette collecte sont bien consentantes et savent comment vont être utilisées leurs données.
  • Permettre à ces personnes de récupérer leurs données et d’en demander la suppression définitive.
  • Consigner dans un registre de conformité l’ensemble des traitements appliqués aux données et les acteurs qui interviennent dans ce processus.
  • Renforcer la sécurité informatique des systèmes de collecte et de traitement des données. Informer les utilisateurs concernés en cas d’éventuelles fuites de données.