Le RGPD, qu’est-ce que c’est ?

Le RGPD (règlement général sur la protection des données, GDRP en anglais) est un règlement européen entré en vigueur le 24 mai 2016. Il deviendra obligatoire le 25 mai 2018, les entreprises ont 2 ans pour se mettre en conformité. C’est un changement majeur à la suite de la directive données personnelles de 1995, au tout début d’Internet alors que des sujets aujourd’hui au cœur du débat législatif : protection de la vie privée, droit à l’oubli, ou encore surveillance n’étaient pas ou peu abordés.

Pour les utilisateurs, les principaux changements sont le droit de refuser le traitement de ses données, d’avoir un droit de regard sur celles-ci, et d’avoir sa vie privée protégée. Pour les entreprises, harmonisation entre pays de l’UE, contraignant également pour les entreprises extra-européennes du moment qu’elles traitent les données de personnes physiques citoyennes européennes, et besoin de protection systématique des données, sanctions plus élevées en cas de non-respect.

Les points remarquables de la RGPD

1. une donnée personnelle est une donnée permettant d’identifier directement ou indirectement une personne physique (moins de 13 ans : interdit, moins de 16 ans : accord parental, plus de 16 ans : cas général)
2. Obligation pour tout entreprise de plus de 250 salariés de tenir un registre des données traitées.
3. Pour les entreprises de moins de 250 salairés, un registre est nécessaire si les données traitées sont sensibles/judiciaires/comportent des risques (religion, politique, santé, sexualité, condamnations…) OU ou si le traitement est habituel (gestion RH, clientèle).
4. Obligation de notification en cas de violation de la sécurité des données, CNIL en France : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles (au passage, pour signaler une faille de sécurité : https://www.ssi.gouv.fr/actualite/vous-souhaitez-declarer-une-faille-de-securite/).
5. Le transfert des données dans un pays tiers est autorisé si le niveau de protection est adéquat. Sanctions jusqu’à 4M€ ou 4% du CA. Avant la sanction maximale de la CNIL=150k€, 300k€ si récidive.
6. Un responsable de la protection des données doit être désigné dans l’entreprise CJUE et CEDH compétents sur ces problématiques.
7. L’exécution d’un contrat ne doit pas être subordonné à l’acceptation du traitement des données.” 
8. Les obligations concernent l’entreprise en charge du traitement et les sous-traitants.
9. Il existe des autorisations /dérogations spécifiques pour la religion, les élections ou l’humanitaire.

FAQ RGDP

Est-ce que votre entreprise fait plus de 250 personnes ?

Vous devez alors obligatoirement nommer un « Délégué à la Protection des Données » responsable vie privée et sécurité des données. Ce dernier doit être l’interlocuteur privilégié entre votre entreprise et la CNIL, mais également face aux interrogations des employés.  Il est possible que ce rôle soit externalisé.

Avez-vous un registre des données que vous traitez ainsi que des applications et des personnes qui les utilisent ?

Ce genre d’information est indispensable dans la nouvelle loi, et vous permet également d’avoir une meilleure visibilité sur vos données.

Savez-vous quels sous-traitants utilisent quelles données ?

La RGPD touche aussi bien l’entreprise que ses sous-traitants, il est indispensable que la sécurité et la vie privée soient garanties chez les deux acteurs. Prenez-contact avec eux pour savoir quels processus et quels engagements ils respectent, et engagez-le contractuellement.

Votre personnel est-il sensibilisé à la protection des données ?

Si le RGPD ne cible pas spécifiquement les employés, ils devront tous faire bien attention aux modalités de traitement des données, car les erreurs commises risquent de fragiliser toute l’entreprise.

Votre site web est-il mis à jour ? Ainsi que ses sous-domaines et sites associés ?

Les services de cookie, analytics, etc. permettent d’identifier les utilisateurs, ils doivent donc être traités en conformité avec la loi. Il n’est plus possible de suivre systématiquement les utilisateurs pour un but aussi large que possible, et sans leur donner la possibilité de refuser.

Vous n’êtes pas sûrs ?

La CNIL propose gratuitement un outil appelé PIA.

Le Royaume-Uni est-il également concerné ?

Le départ du Royaume-Uni n’a lieu qu’en 2019, et le RGPD a été voté avant même le referendum donc oui, les entreprises et citoyens britanniques sont également concernés. On ne sait pas si le « repel bill » annulera également ce règlement, mais c’est peu probable, les états de l’EEE comme l’Islande devant également s’y conformer, et le droit national britannique prévoyant déjà la protection des données.

Ce n’est plus possible d’envoyer mon marketing à tous mes clients/à des bases de données d’adresses trouvées ne ligne ?

Non, il faudra obtenir leur consentement explicite à l’envoi. Cependant, cela permet une communication beaucoup plus efficace.

Ressources utiles

•  RGPD – texte intégral en français ici : http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR
• D’autres lois et avis sur les données personnelles en France : https://donnees-personnelles.parlement-ouvert.fr/
• Texte de la commission de la vie privée belge :  https://www.privacycommission.be/sites/privacycommission/files/documents/recommandation_06_2017_0.pdf . La page 22 contient un tableau résumant les différents types de données.
• Aide-mémoire sous la forme d’une image : https://viuz.com/wp-content/uploads/antiseche-1-907×1024.jpg

Augustin D.