C’est le sujet du moment. Le RGPD (Règlement Général sur la Protection des Données) déchaîne les passions et inquiète les entreprises qui ont peur de ne pas être prêtes à temps. Mais qu’est-ce que le RGPD exactement ? En quoi cela consiste ? Quelles répercussions pour les sociétés et autres sites internet ? Voici quelques explications.
RGPD : qu’est-ce que c’est ?
RGPD est le sigle désignant le Règlement Général sur la Protection des Données. Adopté en avril 2016 par l’Union Européenne, il a pour objectif principal de protéger le traitement et la circulation des données à caractère personnel au sein de l’Union européenne. Face aux nombreuses utilisations presque frauduleuses de certaines entreprises, ce règlement a pour vocation de protéger les individus dans cadre juridique clairement établi.
Alors que ce texte entrera en vigueur le 25 mai 2018, le RGPD met en lumière les problématiques liées à la collecte et l’utilisation des données personnelles des individus que nous sommes. Comment sont-elles traitées ? Qui peut les utiliser ? Et surtout pour quoi faire ?
Le récent scandale Cambridge Analytica qui a touché le géant américain Facebook en est d’ailleurs la preuve : nos données personnelles peuvent être revendues et exploitées à des fins politiques ou commerciales. Le monde d’Internet nous expose et ce que les grandes entreprises savent de nous est incommensurable.
Les objectifs du RGPD
Il existait bien différents textes et lois pour la protection des données sur internet avant l’instauration du RGPD. Cependant, les failles étaient nombreuses et il était simple pour une entreprise de contourner les règles pour utiliser les données personnelles des internautes et ce, bien souvent à leur insu.
Le RGPD veut alors s’imposer comme un texte référence afin d’offrir aux individus de l’Union européenne le droit à la vie privée et à la protection d’informations personnelles. Avec l’explosion du tout numérique et la digitalisation de notre société, les données circulent et sont hyper accessibles. Le règlement général sur la protection des données renforcerait alors les droits des citoyens protégeant ainsi leur intimité et leur droit à la confidentialité.
Aussi, le RGPD a pour vocation de responsabiliser les divers entreprises, sociétés et sites web voués à utiliser les données. Ces plateformes devront avoir le consentement des utilisateurs, agir avec transparence avant d’opérer quelconque opération avec les données personnelles de ces derniers et en garantir la sécurité. Ils seront caution des données qu’ils possèdent et s’engagent à respecter leur utilisation dans un cadre bien précis.
Le RGPD vise aussi l’harmonisation du paysage juridique en matière de protection de données personnelles. Les lois sont alors unifiées, les sanctions identiques à tous les pays de l’Union européenne.
Données personnelles et données sensibles
Une donnée à caractère personnel ou plus communément nommée donnée personnelle est une information qui peut être associée à une personne physique, de manière directe ou indirecte. Concrètement, cela peut-être un nom, un prénom, une adresse, une photographie et même une adresse IP. En somme, ce sont des informations qui permettent d’identifier un individu et qui se rattachent à ce qu’il est comme une vidéo par exemple.
Dans cet ensemble de données personnelles, certaines ont un caractère bien particulier : les données sensibles. Selon le CNIL, ces données sont toute « information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle ». Il est aussi précisé que ces données ne peuvent en aucun cas être exploitées sans le consentement explicite de ces personnes.
C’est ce droit au respect de la vie privée et à la protection de données personnelles comme sensibles que le RGPD se doit de garantir. Chaque personne est responsable de ses opinions à condition qu’elles soient divulguées de manière volontaire et assumée.
Qui est concerné par le RGPD ?
En principe, le RGPD est l’affaire de tous. Toute entité utilisant des données personnelles dans le cadre de l’Union européenne est soumise au respect du règlement général sur les données personnelles. Entreprises, sites internet, sous-traitants, administrations, prestataires et même associations sont concernés par le RGPD tant qu’ils manipulent des informations personnelles européennes. Et ce, même s’ils ne sont pas sur le territoire européen, les géants américains comme Facebook ou Google devront adapter leur politique en termes de traitement de données.
Et attention aux sanctions ! Alors qu’il entrera officiellement en vigueur le 25 mai 2018, les sanctions et amendes envisagées peuvent être très élevées et peuvent aller jusqu’à 4% du chiffre d’affaires annuel mondial. Le Cnil précise cependant que ces sanctions seront attribuées à hauteur de l’infraction. Cela peut aller d’un simple avertissement à une amende de plusieurs millions d’euros en passant par une mise en demeure ou à une suspension des flux de données hors UE. De quoi faire réfléchir les entreprises qui voudraient tricher.
Qu’est-ce que cela va changer
Le RGPD va sans aucun doute impacter le web et le cadre dans lequel les données personnelles sont utilisées. Au niveau des internautes déjà, leurs données seront assurées d’une protection étendue. Les sites web devront par exemple obtenir un consentement écrit et explicite des individus avant tout traitement de leurs données personnelles. Le droit à l’oubli sera aussi de mise et toute personne pourra demander la suppression de ses données personnelles dans un délai de 30 jours.
Mais c’est surtout les entreprises qui vont subir de plein fouet ce changement. Le RGPD va complètement modifier l’utilisation qu’elles peuvent faire des données personnelles. Elles devront tout d’abord être en conformité avec la réglementation en cas de contrôle de la CNIL par notamment la tenue systématique d’un registre de traitement des données. Leur site internet devra lui aussi être adapté aux exigences du RGPD.
En plus du consentement explicite des individus, les entreprises devront aussi renforcer les mesures de sécurité concernant les données personnelles qu’elles auront en leur possession. Cela passera par le respect du « Privacy by design », qui consiste à protéger les données d’un individu durant la totale utilisation de ces dernières, mais aussi par l’application du « Privacy by design » permettant à toute personne d’obtenir le plus haut niveau de protection de ces données personnelles, par défaut.
Et si une entreprise ou tout site internet manque à ses obligations par la violation de la vie privée, elle devra en référer à la CNIL sous 72h et avertir la personne concernée. Les individus pourront même demander réparation et obtenir des compensations en réponse au préjudice subie.
L’encadrement des sous-traitants sera aussi une clé pour être en conformité avec le RGPD. En effet, les entreprises auront l’obligation de travailler avec des sous-traitants présentant des garanties suffisantes. Au moindre problème de sécurité, c’est la société qui paiera les pots cassés et devra en assumer les conséquences.
Enfin, le RGPD entraînera un nouveau changement important puisqu’il obligera les entreprises à désigner un Data Protection Officer (Délégué à la protection des données). LE DPO sera alors le responsable du traitement et de l’utilisation des données personnelles à plus forte raison si elles sont à caractère sensible. Il assurera la conformité juridique de l’entreprise avec le RGPD et pilotera l’ensemble des interlocuteurs intervenant sur la gestion des données. Cependant, cette obligation de nommer un DPO s’appliquera aux sociétés exploitant des données sensibles ou en grande quantité.
Un petit pas pour l’homme, un grand pas pour la confidentialité
Le règlement général sur la protection des données va impacter significativement le traitement des données personnelles réalisé par les entreprises. Plus de protection pour les individus, plus de sécurité sur les sites internet, plus de responsabilités pour les entreprises. Ces dernières devront jouer la carte de la transparence et respecter le droit des personnes. Les dérives d’Internet ont mené cette nouvelle réflexion sur le traitement des données personnelles donnant ainsi naissance au RGPD.
Un premier pas significatif a été fait. A voir maintenant si toutes les entreprises joueront le jeu. Premières réponses le 25 mai.
Pour vos projets digitaux, travaillez avec des gens motivés qui aiment leur métier : contactez-nous.
