RGPD : nouveau cadre légal en mai 2018 pour la protection des données personnelles

L’Europe s’est dotée d’un cadre harmonisé pour sécuriser les données personnelles qui entrera en vigueur le 25 mai 2018 renforçant les droits des personnes mais aussi les obligations des organisations. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

Voir la présentation CCI de Vaucluse – Vaucluse Pro Numérique du 29/03/2018

Qu’est-ce que le RGPD ( Règlement Général pour la Protection des Données) ?

Le 25 mai 2018, ce règlement européen sera applicable et viendra remplacer la loi Informatique et libertés. Ce nouveau règlement permet de renforcer les droits des citoyens européens et leur donner plus de contrôle sur leurs données personnelles. Il simplifie les formalités pour les entreprises et leur offre un cadre juridique unifié. En France, sa mise en œuvre est placée sous l’autorité de la CNIL. Une donnée personnelle est une donnée liée à une personne physique, et qui la caractérise. Il s’agit donc classiquement du nom, prénom, adresse, adresse email, mais aussi la date de naissance, l’adresse IP… En somme, toute information permettant d’identifier une personne physique directement ou indirectement.

RGPD : êtes-vous en conformité ?

Les étapes à suivre pour l’être:

  • Etape 1 : désigner un pilote au sein de votre entreprise : le DPO > En savoir plus
  • Etape 2 : cartographier les traitements de données à caractère personnel et tenir un registre des traitements > En savoir plus
  • Etape 3 : prioriser les actions basées sur le registre des traitements > En savoir plus
  • Etape 4 : gérer les risques en menant une « EIVP » : étude d’impact sur la vie privée > En savoir plus
  • Etape 5 : organiser les processus internes en intégrant le RGPD dans tous les processus en place > En savoir plus
  • Etape 6 : documenter la conformité > En savoir plus

Ce qui va changer au niveau « humain »

Cette réglementation a pour objectif de renforcer la protection des consommateurs, leurs données ne seront que « prêtées » aux entreprises. Ainsi, ils resteront les uniques propriétaires de ces dernières pouvant exercer tous les droits dessus.

  • Droit au Consentement : autorisation explicite
  • Respect de la vie privée : étude d’impact pour les risques élevés sur la vie privée
  • Transparence : droit de savoir à quoi servent ses données
  • Profilage : droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé
  • Possibilité de désabonnement : désabonnement possible à tout moment
  • Droit à l’oubli : possibilité de réclamer la suppression de ses données
  • Contact inactif : tous contacts inactifs depuis plus de 3 ans doit être retirés des traitements
  • Droit à la portabilité : possibilité d’exporter directement ses données.

 Cette réglementation implique donc une forte réactivité des services de l’entreprise, depuis son DPO jusqu’aux services techniques s’il s’agit de supprimer ou de porter une donnée.

Quels risques pour l’entreprise en cas de non-respect du règlement ?

  • Une sanction en cas de manquement simple peut aller jusqu’à 2% du CA de l’entreprise (dans le cas d’une entreprise faisant partie d’un groupe international, il s’agit de 2% du CA du groupe) ou jusqu’à 10M d’euros.
  • En cas de faute grave, la sanction est doublée. Dans tous les cas, le montant le plus élevé est retenu.

Au-delà du préjudice financier, les répercussions seront les plus fortes au niveau de l’image de l’entreprise fautive. Car l’objectif de ce règlement n’est pas de punir la fuite de données, mais de prévenir les comportements à risque des entreprises peu regardantes des données personnelles.

 

 

 

 

 

 
Publié dans Actualités, Intelligence Economique, UNE.