A l’heure du digital, personne n’est réellement confiant quant aux données que possèdent les entreprises sur notre personne. En effet, selon une étude de l’institut CSA de septembre 2017, 85% des Français se disent préoccupés par la protection de leurs données personnelles en général ,et 90% par celles de leurs données en ligne. De quoi être perplexe sur leurs utilisations. Un règlement général sur la protection des données (RGPD) ou General Data protection Regulation (GDPR) en anglais, voit le jour et entrera en vigueur ce 25 mai 2018. Par conséquent, il est temps d’évaluer la situation de votre entreprise en matière de conformité..
Tout d’abord, qu’est-ce que le RGPD ?
RGPD est une nouvelle réglementation européenne qui entrera prochainement en vigueur. L’objectif étant de “redonner au citoyen le contrôle sur leurs données personnelles tout en simplifiant l’environnement réglementaire des entreprises.”
Ainsi, cela concerne les entreprises situées dans les pays de l’union européenne mais pas seulement.. les multinationales basées en dehors de l’UE visant un public situé en UE sont aussi concernées !
Toutefois, qu’il s’agisse d’une TPE, d’une PME ou d’une grande entreprise, le RGPD s’applique à tous.
Qu’est ce qu’une donnée personnelle ?
C’est tout ce qui permet d’identifier une personne directement (nom, prénom..) ou indirectement ( adresse postale, Adresse Ip) est considéré comme une donnée personnelle. Nous pouvons référencer ces données avec notamment les données dites “sensibles” soit tout ce qui concerne : la santé, la religion, l’orientation sexuelle, les opinions politiques.
A partir de quel moment peut-on dire que l’on traite des données personnelles ?
Le traitement commence à partir du moment où on stocke ces données. Ex : stocker un excel avec des noms sur votre ordinateur pro.
Par conséquent, nombreuses sont les entreprises concernées. Toutes celles qui possèdent des fichiers clients ou encore des CRM sont clairement concernées par cette mise en place.
Les nouveaux droits accordés aux internautes
- Droit à la vie privée
- Droit à la protection
- Droit à l’oubli
- Droit de rectification
- Droit à l’effacement
- Droit au déréférencement
- Droit au transfert
- Droit de conservation
- Droit d’opposition
Quels sont vos obligations en tant qu’entreprise ?
Obligation de tenir un registre
La constitution d’un registre est une obligation prévue à l’article 30 du RGPD. Elle s’applique à toutes les sociétés traitant des données personnelles de façon régulière dans le cadre de leurs activités.
Le registre des traitements doit permettre de répondre précisément à ces questions :
- Quelles sont les catégories des données traitées ?
- A quoi servent ces données ?
- Qui y accède et à qui sont elles communiquées ?
- Combien de temps sont elles conservées ?
- Comment sont elles sécurisées ?
Voici une trame de registre proposée par la CNIL pour vous aider
Protection des données dès la conception et par défaut
L’entreprise devra tout mettre en oeuvre pour minimiser les risques “privacy by design” et garantir que seul le minimum de données sera traité dès la conception d’un projet. Le Privacy by design est une mesure préventive ayant pour but de limiter les risques d’abus et de violation des données.
Mise en conformité avec les partenaires/ Sous-traitant
Les entreprises doivent encadrer contractuellement les relations entre le responsable de traitement et le sous-traitant afin d’être en conformité avec le RDPG. En effet, Le RGPD va modifier en profondeur la responsabilité des sous-traitants.
Aujourd’hui, seul le responsable de traitement est responsable Or avec la nouvelle réglementation cela change. Le sous-traitant devient responsable et doit répondre lui aussi à certaines obligations.
Nomination et formation d’un Data Protection officer ou DPO ( Un délégué à la protection des données externe ou interne à l’entreprise)
Ce profil doit surveiller et gérer à la fois les données et les opérations nécessaires selon les règlements. Sa désignation est une obligation pour les structures publiques (hôpitaux, collectivités…) et pour les entreprises qui traitent des données à grande échelle ou des données sensibles ( données génétiques, religion, orientation sexuelle …)
En d’autres termes, toute entreprise traitant des données de citoyens européens devra être capable d’expliquer la finalité des données utilisées.
Les citoyens ont le droit de connaître depuis quand les données sont collectés, combien de temps seront elles stockées, où et avec quels moyens de sécurisation.
Adopter des règles internes et mettre en oeuvre des mesures qui respectent la protection
L’entrepreneur se doit de faire partager ses valeurs à ses employés concernant la politique de protection des données. Ainsi, il est nécessaire d’inciter les employés à adopter la bonne attitude vis-à-vis des données pour engager un changement culturel au sein de l’entreprise.
Obligation d’effectuer une analyse d’impact
Une étude d’impact vie privée est obligatoire pour les entreprises dont les traitements sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes.
Obligation de non-profil si il n’y a pas de consentement
Aujourd’hui le marketing s’appuie de plus en plus sur l’exploitation des données. Le profilage a pour but de collecter des informations afin d’analyser les comportements, les caractéristiques d’un individu afin d’anticiper leurs actions.
Conformément aux articles 13 et 14 du RGPD les personnes concernés par un traitement utilisant une technique de profilage a le droit de s’y opposer si celle-ci justifie une “situation particulière”.
Notifier une faille dans les 72 heures
L’une des nouveautés les plus importantes est bien celle-ci. En effet, aujourd’hui beaucoup d’entreprises n’ont pas une visibilité totale sur les incidents de pertes de données personnelles. Le règlement européen veut arranger cela obligeant les entreprises à signaler la perte ou le vol de données personnelles dans les 72 heures.
Les risques de sanctions ?
C’est Chaque entreprise se doit de mettre en place ce qu’il faut pour gérer cette réglementation sous peine d’être pénalisé jusqu’à 4% de son chiffre d’affaires annuel de l’exercice précédent. Ainsi Apple avec un chiffre d’affaire de 215 milliards de dollars aurait une amende de 4% du chiffres d’affaires représentant 8.6 milliards de dollars ! Amazon avec un CA de 130 milliards pourrait payer 5.2 milliards de dollars et Apple 3.2 milliards ( 215 milliards de chiffre d’affaires). De quoi inciter les entreprises à changer leurs politiques. Devinez qui sont les plus visés…
Les entreprises devront apporter la preuve que toutes les mesures techniques et organisationnelles ont été mises en place pour protéger leurs données.
Souvent vu comment une contrainte le RGPD peut créer certaines opportunités, notamment le fait d’offrir aux clients une meilleure expérience à travers une bonne gestion de la data. Cela peut jouer sur le long terme sur la fidélité des clients, le chiffre d’affaires ainsi que la réputation de la marque. Mais avant tout cela permet de restaurer la confiance entre les entreprises et leurs clients et cela est loin d’être négligeable au vu du contexte actuel.
Notre cabinet ECG vous accompagne dans la mise en conformité au RGPD en vous proposant des spécialistes de la Data. Pour plus d’information n’hésitez pas à nous contacter.
