Mais qu’est-ce que le RGPD ?
Le RGPD pour Règlement Général sur la Protection des Données (ou General Data Protection Regulation en Anglais) est un texte de loi européen entré en vigueur le 24 Mai 2016 et appliqué depuis le 25 Mai 2018.
Le texte prévoit et encadre l’usage des données à caractère personnel et impacte donc toutes les entreprises collectant des données à caractère personnel sur des citoyens Français en France, en Europe, mais aussi dans tout autre pays du monde.
Au fait, qu’est-ce qu’une donnée personnelle ?
En droit Français, une donnée à caractère personnel correspond à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propre.
Exemple de donnée permettant l’identification directe :
Une fiche client, un bulletin de paie, une facture et tout autre document (peu importe le support) permettant l’identification d’une personne.
Exemple de donnée permettant l’identification indirecte :
On parle d’identification indirecte car la donnée seule ne suffit pas à l’identification. Elle nécessite un croisement avec une autre source de données : un numéro de téléphone, une plaque d’immatriculation, une adresse, un numéro de sécurité sociale sont autant d’exemples de données permettant une identification indirecte.
Pourquoi mettre en place un tel règlement ?
La dernière directive mise en place datait de 1995. En 23 ans, les usages et comportements ont largement évolué et l’Union Européenne a souhaité accompagner cette transformation tout en redonnant aux citoyens le contrôle sur leurs données personnelles.
In fine, le RGPD vise 3 objectifs :
- Renforcer le droit des citoyens Européens
Désormais chaque citoyen européen a la possibilité d’accéder, de rectifier et de s’opposer aux données collectées par un tiers.
Le RGPD donne également la possibilité de faire jouer le droit à l’effacement et à l’oubli, de réclamer un traitement limité des données voire même de récupérer l’intégralité des données collectées sur sa personne.
- Harmoniser le traitement des donnés à l’échelle Européenne
Avant l’adoption du RGPD, l’ensemble des 28 pays européens appliquait la directive de 1995 à sa manière. C’est d’ailleurs l’essence même d’une directive : c’est un acte juridique voté par le Conseil de l’UE, fixant un certain nombre d’objectifs à atteindre et ce dans des délais impartis, tout en laissant la liberté aux Etats de le faire à leur manière.
- Instaurer davantage de confiance entre les collecteurs et les collectés
Si les personnes dont les données sont collectées disposent de plus de droits, les collecteurs eux ont plus de responsabilités et doivent notamment être en mesure d’assurer au maximum la sécurisation des données. De récents événements comme la fuite des données de 2,7 Millions d’utilisateurs (Cambridge Analtyica) ne sont pas souhaitables, et c’est notamment pour cette raison que la commission européenne se dit prête à sévir en cas de manquement au règlement.
Comment être au clair avec le RGPD ?
Comme nous l’avons vu précédemment, l’ensemble des entreprises (privés ou publiques) sont tenues de se plier au Règlement.
Si vous êtes une autorité publique, ou que votre activité de base est liée au traitement de données plus ou moins sensibles, la première étape consiste à nommer un Data Protection Officer (DPO) ou responsable de la RGPD. Ce profil à mi-chemin entre spécialiste juridique et responsable technique est responsable du respect de la protection des données dès la conception (privacy by design), de la mise en conformité de la collecte (accountability), et de la déclaration de toute violation des données à caractère personnel.
La seconde étape consiste à identifier l’ensemble des processus concernés par le RGPD puis calculer leur niveau de conformité en les soumettant à une étude d’impacts (PIA pour Privacy Impact Assessment).
La troisième étape consiste à tenir un registre interne des traitements et de leur avancements (traités, en cours, à venir). C’est ce registre que la CNIL observera en cas de contrôle.
Enfin, la prévention auprès de vos sous-traitants est imparable ! Le RGPD impose notamment que les relations entre responsable de traitement et sous-traitant de données soient strictement encadrées et formalisées dans un contrat écrit.
Quels risques encourus en cas de manquement ?
Depuis le 25 Mai 2018, l’absence de consentement de traitement des données ou de base légale pour le faire, le non-respect des droits individuels précédents cités… conduisent à des amendes administratives pouvant monter jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’exercice précédent.
Un autre palier est prévu, à hauteur de 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour des infractions plus spécifiques (absence de registre de traitement des données personnelles, absence de notification dans les délais d’une faille de sécurité entraînant la perte de données, etc..)