Mieux comprendre la RGPD

La RGPD ou Réglementation Général de la Protection des Données entrera en application le 25 mai 2018On vous en dit plus.

Qu’est-ce que la RGPD ?

Cette nouvelle réglementation (baptisé GDRP pour Global Data Protection Regulation en anglais) est un accord européen qui constitue le nouveau texte de référence en matière de protection des données à caractère personnel. Elle renforce et unifie la protection des données pour les individus au sein de l’Union européenne.

Elle a été définitivement adopté par le Parlement européen le 14 avril 2016 et ses dispositions seront directement applicables dans l’ensemble des 28 États membres de l’Union européenne à compter du 25 mai 2018.

Selon la CNIL, la mise en oeuvre du texte officiel aura 3 objectifs principaux :

  • Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • Responsabiliser les acteurs traitant des données, c’est-à-dire les responsables de traitement et sous-traitants qui verront leurs responsabilités partagées et clarifiées;
  • Facilité et favoriser la collaboration entre les différentes instances de protection des données et particulièrement lorsque les traitements de données seront internationaux.

Qu’est-ce que la RGPD change pour les entreprises ?

La RGPD aura certes un impact direct sur les entreprises mais elle ne fera que solidifier, clarifier et améliorer les réflexions, codes, bonnes pratiques déjà utilisées à ce jour.

Trois aspects se distinguent particulièrement :

  • Sécurisation des données : les normes de sécurité de la donnée durant son cycle de vie devront être anticipées dès les phases amont des projets.
  • Traitement des données personnelles : une entreprise n’ayant pas de motif légitime (obligation contractuelle, légale, …) de détention de données personnelles sur un individu, ne sera plus en droit de les traiter sauf si elle a obtenu le consentement clair et explicite de la personne concernée.
  • Le droit à l’oubli renforcé : une entreprise devra être en mesure de garantir aux personnes qui leur en feront la demande que leurs données seront / ont été effacées de leurs bases de données dans un délai de 30 jours.

Ainsi, l’ère du Big Data et celle des mises en place de CRM à tout va semblent (enfin) toucher à leur fin. Nous sommes en plein dans l’ère de la smart data.

La RGPD implique des changements organisationnels

Un autre élément qui est directement lié à la mise en place de la réglementation générale de la protection des données personnelles est sans contexte l’émergence de nouveaux métiers.

Ainsi, il est imposé aux institutions publiques et aux entreprises privées traitant des données personnelles à grande échelle de nommé un Data Protection Officer (DPO). Son rôle consistera en la mise en place d’une véritable gouvernance transverse autour de la protection des données personnelles au sein de l’entreprise.

La Société Générale a d’ailleurs annoncé la nomination d’Antoine Pichot pour prendre le poste de DPO très récemment.

Pourquoi il faut être prêt ?

Concernant les sanctions, on est loin des peines dérisoires imposées par la CNIL qui avait sanctionné Facebook et son entité Facebook Ireland d’une amende de 150 000€ en mai dernier pour leurs infractions répétées concernant le traitement des données personnelles de leurs utilisateurs. Grâce à la RGPD, les sanctions seront bien plus dissuasives. En effet, le journal Les Echos révélait que la sanction maximale s’élèverait désormais à 20 millions d’euros ou 4% du chiffre d’affaires, en sachant que la somme la plus élevée serait celle retenue.

Avant d’en arriver à cette sentence maximale, les autorités de protection pourront prononcer un avertissement, puis mettre en demeure l’entreprise de se mettre en conformité. Si ces premières mesures restent sans effets, des actions plus sévères pourront être mises en oeuvre.

Rassurons-nous, pour accompagner les sociétés lors de leur mise en conformité, la CNIL a défini de grandes étapes à suivre.  Des sociétés ont également flairé la belle opportunité.  Ainsi, si elles le souhaitent, les entreprises pourront faire appel à des cabinets comme HAAS Avocats, Actecil ou encore Avistem. Ces dernières pourront les conseiller sur les actions à mettre en place pour être en conformité avec la RGPD.

Qu’en est-il des GAFA et des sites non-européens ?

La grande nouveauté de la RGPD réside dans le fait qu’une société basée hors-Union Européenne mais traitant de données personnelles d’individus européens devra se soumettre à la loi. Les sociétés n’étant pas en règle pourraient recevoir une limitation temporaire ou définitive d’un traitement. Cette sanction peut avoir un véritable impact sur les structures dont c’est l’activité principale.

C’est l’un des points forts de ces nouvelles mesures qui permettent aujourd’hui une meilleure régulation des  grands acteurs non-européens.

Cependant, la mise en place de la RGPD soulève aussi les limites de l’exercice. Pour protéger réellement ses données personnelles, peut-être faut-il commencer par ne pas les communiquer à des sociétés connues pour les traiter ? Peut-être faudrait-il faire le choix raisonner de ne pas divulguer son historique d’achat aux GAFA qui l’utilise pour nous proposer des produits « qui pourraient nous plaire » ? On ne peut pas espérer de résultats concrets sans une action globale entre acteurs influents, utilisateurs et régulateurs comme le rappelle Tris Acatrinei sur ZDnet.

En conclusion …

Les changements pour les entreprises ne seront donc pas si révolutionnaires. Le texte officiel approfondie et clarifie comment les sociétés doivent traiter la donnée mais se base essentiellement sur des bonnes pratiques déjà connues. On met petit à petit les pieds dans l’ère de la smart data car l’information ne peut plus être collectée en masse.

De même l’Europe a réussi à durcir le ton concernant les sanctions, ce qui est loin d’être une mauvaise chose pour que les mentalités changent. Cependant, le dernier mot reste dans les mains de l’utilisateur final qui doit faire le choix entre faire confiance aux gros acteurs traitant leurs données personnelles ou à des acteurs plus modestes (comprendre, moins connus), qui sont en mesure de garantir une certaine forme de liberté.

Pour aller plus loin, retrouvez le contenu du texte officiel sur le site de la CNIL.