Sélectionner une page
Temps de lecture: 6 minutes

Le RGPD, Règlement Général sur la Protection des Données, vise à responsabiliser les entreprises quant à l’utilisation des données personnelles qu’elles collectent auprès des consommateurs. Ce dispositif législatif doit entrer en vigueur le 25 mai 2018.

À l’heure de la transformation digitale où la data explose, les dirigeants doivent comprendre que les données personnelles ne sont pas un accessoire, et qu’il faut dorénavant les prendre davantage en considération.

Cyril Fabre, avocat chez Ydès Avocats, a dressé un panorama de cette nouvelle législation européenne lors de la journée nationale et internationale de l’Inbound Marketing le 31 janvier 2018 à Rennes.
 

RGPD : quel est le cap de cette nouvelle loi ?

Bien que la CNIL déclare que les entreprises seraient en passe d’être en conformité au RGPD, la réalité terrain est tout autre. Cyril Fabre indique ainsi : « Je viens d’un cabinet d’avocats où l’on a des clients de toute taille, de la TPE aux mastodontes du CAC 40, je n’ai aucun client en conformité ». Cyril Fabre poursuit en assurant que seulement environ 10 % des entreprises en France le sont.

Le RGPD s’appuie sur une réglementation datant des balbutiements de l’informatique : la loi Informatique et Libertés de 1978. L’un des axes fondamentaux du RGPD repose sur le fait que les entreprises ne seront plus sur un système purement déclaratif comme cela est le cas depuis 40 ans. Il leur appartiendra de démontrer qu’elles sont en conformité avec la réglementation. « C’est une dimension culturelle qu’il faut garder à l’esprit », souligne Cyril Fabre.
 

Mieux comprendre les objectifs du RGPD pour mieux cerner les enjeux et impacts

Pour se préparer à mettre en œuvre les process essentiels à ces nouvelles règles applicables à compter du 25 mai 2018, il est important de bien comprendre les notions du dispositif.

Tout d’abord, qu’est-ce qu’une donnée personnelle ? Une donnée personnelle est une information permettant directement ou indirectement d’identifier une personne physique. Le fait que l’identification ne puisse se faire que par le concours d’un tiers n’est pas un obstacle à la qualification.

Un numéro d’ID, cas extrêmement classique dans le e-marketing, un numéro de carte bancaire, une date de naissance, un numéro de téléphone, une empreinte digitale, ou encore la photographie d’un individu sont des données personnelles. Donc, globalement, on peut considérer que dans le e-commerce, tout, ou presque, est une donnée personnelle. Rares sont les cas où il n’y en a pas.

Le second point à comprendre est la notion de traitement. Il existe une vraie nouveauté dans le RGPD par rapport à la loi de 1978 qui n’est pas très explicite compte tenu des nouveaux usages numériques : la transmission. Elle entre désormais dans le champ d’un traitement de données personnelles. Autrement dit, dès lors que vous avez un contact quelconque avec une donnée personnelle, vous êtes dans le cadre d’un traitement. Il faut simplement que cela soit une opération effectuée à l’aide ou non de procédés automatisés, donc de l’informatique principalement.

Les termes de responsable de traitement et de sous-traitant sont aussi des notions importantes à connaître. Le responsable de traitement gère les moyens du traitement des fichiers de données, alors que le sous-traitant est un prestataire de service qui le fait pour le compte d’un client.
 
RGPD 3
 

Focus sur les grands changements à venir avec l’entrée en vigueur du RGPD

Concrètement, voici les points essentiels à retenir sur les modalités de ce règlement général, qui a pour objectif de renforcer le droit et la confiance des consommateurs, en responsabilisant les entreprises dans le traitement des données à caractère personnel :

  • Un renforcement du consentement des personnes

Aujourd’hui, la loi Informatique et Libertés est exécutable, mais encore méconnue. L’essence même de la loi est pourtant simple : la collecte de données est possible, mais à plusieurs conditions cumulatives. Point impératif : il faut un consentement de la personne concernée. À défaut, il est nécessaire en vue de l’exécution de formuler un contrat.

Demain, que va-t-il se passer ? Le RGPD va renforcer cette notion de consentement pour plus de transparence. Les utilisateurs devront être informés de façon claire et explicite du « destin » de leurs données personnelles. Ils auront aussi la possibilité de retirer leur consentement à tout moment. L’entreprise devra également être en mesure de prouver le consentement d’une personne, sans équivoque.

  • Un droit à l’oubli et à la portabilité des données à caractère personnel

Autre mesure largement relayée par les médias ces derniers mois, le droit à l’oubli (ou droit à l’effacement). Toute personne physique pourra demander au responsable de traitement l’effacement de ses données personnelles dans les meilleurs délais. De plus, elle devra avoir la possibilité de les récupérer afin de les transmettre à un autre opérateur si elle le souhaite.

  • Une protection des mineurs renforcée

La protection des mineurs sera également renforcée. La collecte des données personnelles des adolescents ne doit pouvoir se faire qu’avec l’accord des parents. De vraies procédures doivent être mises en place à ce sujet.

  • Une sécurisation des données accentuée

La loi Informatique et Libertés prévoit les notions de principes de sécurisation des données. Le RGPD, dès que de la donnée personnelle est en jeu, exigera de l’entreprise le meilleur niveau technologique de sécurisation. C’est ce que l’on appelle le principe de privacy by design.

Le deuxième élément de ce principe de sécurisation des données est le privacy by default. Il stipule que, dès le stade de la conception d’un quelconque système dans lequel il va être recueilli des données personnelles, une fiche relative aux aspects de sécurité sera obligatoire. Par exemple, si vous créez un site Internet ou une solution logicielle, vous devrez impérativement prévoir au stade des spécifications tous les éléments de sécurisation des données (schémas de sécurité).

  • La violation des données personnelles pénalisée

En cas de violation de la vie privée, l’entreprise devra le notifier à la CNIL, indiquer clairement la procédure mise en place, et informer chacune des personnes concernées. L’entreprise sera également responsable des conséquences dommageables. « Cela va être une vraie révolution », déclare Cyril Fabre.

Enfin, la désignation d’un DPO (Data Protection Officer) sera une obligation pour toutes les entreprises traitant des données sensibles, comme celles des secteurs de la banque et de la santé. Ce délégué de la protection des données dispose d’une expertise technique et juridique qui guidera l’entreprise dans sa mise en conformité au RGPD. De plus, l’entreprise devra tenir systématiquement à jour un registre des activités de traitement de données, afin d’assurer que ses processus mis en place sont garants de la confidentialité des données à caractère personnel.