Le RGPD a fêté ses 5 ans en mai dernier. L’occasion de faire le point sur ce qu’est le RGPD et comment s’y conformer. Ce règlement commun marque un tournant pour la protection des droits des citoyens. Il aura permis de protéger les individus et d’apporter plus de régulation de la part des entreprises qui collectent des données. Bilan au bout de 5 ans : les sanctions sont nombreuses. Plus de 2 milliards d’euros d’amende administratives ont été comptabilisées depuis sa mise en place. Mais surtout, le RGPD est devenu un standard mondial adopté – et adapté – par de nombreux autres pays. A tel point que les Etats-Unis se lanceraient dans la mise en place d’un équivalent américain du RGPD.

 

RGPD : de quoi s’agit-il ?

 

Entré en vigueur le 28 mai 2018, le Règlement Général sur la Protection des Données est un texte international qui vise à renforcer la vie privée des individus. L’objectif : encadrer le traitement des données personnelles des citoyens sur le territoire de l’Union Européenne.

Ce règlement européen vient renforcer la Loi française Informatique et Libertés de 1978. Il apporte un cadre juridique qui permet aux utilisateurs de garder le contrôle sur les données qu’ils communiquent.

On parle de Données personnelles pour « Toute information se rapportant à une personne physique identifiée ou identifiable ». Ainsi, une personne peut être identifiée directement par son nom, son prénom, ou indirectement par un identifiant, un numéro de téléphone ou un numéro de sécurité sociale, voire une photo ou encore un croisement de données qui décrivent la personne.

 

Qui est concerné par le RGPD ?

 

Le RGPD s’applique à toute entreprise ou organisation (publique ou privée), qui traite des données personnelles.

Si l’activité, les services ou les produits (commercialisés sur un site e-commerce) de l’entreprise ciblent des résidents européens, ou si la société est basée en Europe, alors elle est concernée par le RGPD. Les sous-traitants qui collectent des données personnelles pour le compte d’un tiers sont également concernés.

En cas de non-respect, les entreprises s’exposent à des amendes proportionnelles à la gravité de la violation des droits, qui sont accordées au prorata de leur CA mondial. Parmi les fautifs, on recense des grands groupes – plusieurs géants des GAFA – mais aussi des plus petites et moyennes entreprises. Actuellement, dans le viseur des autorités : les nouveaux systèmes d’IA ou les technologies de reconnaissance faciale qui peuvent présenter des risques lourds de par leur nature intrusive. Le montant des sanctions, qui peuvent être rendues publiques, peut s’élever jusqu’à 20M d’euros, ou 4% du CA mondial de l’entreprise. S’il fut un temps où la France était championne des sanctions, c’est désormais l’Irlande et le Luxembourg qui se sont vus affliger les plus grosses peines. Un impact financier qui ne sera donc pas perçu de la même manière selon les différentes entreprises concernées. Outre l’aspect pécunier, il en découlera également un risque réputationnel pour l’entreprise, avec une image de marque ternie.

 

RGPD : Comment être conforme ?

 

Votre site internet comporte un formulaire de contact ? Vous éditez des factures pour vos clients, ou vous leur proposez un programme de fidélité ? Vous devez vous conformer au RGPD en faisant respecter les droits des personnes !  Parmi les différents droits que l’on peut exercer, le RGPD en a introduit de nouveaux depuis son lancement. A savoir :

  • Les droits d’accès et de rectification,
  • Le droit à l’information,
  • Le droit à l’effacement,
  • Le droit d’opposition,
  • Le droit à la portabilité, le droit à l’oubli,
  • Le droit au refus du profilage ou de décisions automatisées,
  • Le droit à la limitation du traitement des données.

 

4 étapes pour se mettre en conformité

 

  1. Recenser les traitements. Faites le point sur les données que vous récoltez. Le responsable des données (DPO), ou le cas échéant vous-même, doit tenir un registre listant les traitements des données récoltées. Vous pouvez vous appuyer sur un modèle de registre des activités de traitement que vous recensez (édité par la CNIL).
  2. Trier les données et tenir un registre à jour. Créez des fiches de registre en vérifiant que les données traitées sont utiles à votre activité. Vérifiez également si le type de données que vous traitez sont dites sensibles ou non.
  3. Respecter les droits des administrés. Informez de façon claire et transparente les utilisateurs dont vous traitez les données. Il peut s’agir de clients, mais aussi de collaborateurs, de salariés. Les supports que vous utilisez doivent comporter des mentions pour avertir les utilisateurs.
  • Indiquez-leur pour quelle finalité vous collectez leurs données (communication, achat en ligne…).
  • Précisez également ce qui vous autorise à le faire : le fondement juridique, soit le consentement de la personne concernée, l’exécution d’un contrat, etc.
  1. Sécuriser les données. Mettez en place des process organisationnels pour garantir la sécurité des données au sein de votre entreprise :
  • Vérifiez que vos locaux soient suffisamment sécurisés (accès, coffres-forts, armoires, serveurs…).
  • Informez vos collaborateurs sur la protection des données et instaurez une charte à signer.
  • Protégez vos comptes utilisateurs par des mots de passe puissants et régulièrement changés.
  • Supprimez les comptes utilisateurs de vos collaborateurs à la fin de leurs contrats.
  • Formez et sensibilisez régulièrement votre personnel aux bonnes pratiques de la protection de la vie privée.
  • Effectuez des procédures de sauvegardes et de récupération des données régulières (en cas d’incident).

Continuez à vous tenir informé des dernières réglementations et des mises à jour du RGPD.

Alez PC vous accompagne et vous aide à redéfinir vos process. Contactez-nous.