L’acronyme RGPD désigne le « Règlement Général sur la Protection des Données ». Il s’agit d’une nouvelle législation qui est la transposition en droit français de la nouvelle directive européenne sur la protection des données. Le RGPD entrera en vigueur le 25 mai 2018.

Vous n’en avez jamais entendu parler ? Alors il est grand temps de vous documenter sur le sujet, car ceux qui ne seront pas préparés risquent de le regretter amèrement…

RGPD-donnees-personnelles-reglementation

Des entreprises responsabilisées, et de lourdes sanctions !

Jusqu’ici, le régime du traitement des données personnelles était dans la pratique peu contraignant : les principales obligations consistaient à déclarer ses fichiers à la CNIL, et d’éviter de croiser inutilement des fichiers. Les contrôles étaient assez rares, et les sanctions peu dissuasives (y compris et surtout lorsqu’elles ciblaient des géants du web comme Google).

À partir du 25 mai 2018, le nouveau texte part du principe que les entreprises sont pleinement responsables de la façon dont les données personnelles sont recueillies et exploitées. Et le non-respect des règles produit des sanctions qui sont potentiellement énormes :
– 20 millions d’euros au maximum
– ou 4% du CA mondial de l’entreprise sanctionnée

Qui est concerné par cette législation ?

Toute entreprise qui gère est amenée à collecter et manipuler des données personnelles est concernée par la nouvelle réglementation. Les sous-traitants sont concernés également.
RGPD-donnees-personnelles-reglementation-BLOG-SEARCH-FORESIGHT

Quelles sont les grandes lignes de la nouvelle organisation ?

Dorénavant, les principes à respecter seront :
– de ne récolter que les données réellement utiles à l’objectif assigné à un traitement (principe de minimisation)
– de ne rien faire qui puisse engendrer un risque pour la vie privée des personnes
– de sécuriser les données conservées
– et d’être en mesure de justifier à première demande des mesures prises pour être en conformité avec la legislation

Bref, on entre dans l’ère du « Privacy by Design », c’est à dire que la protection des données personnelle doit être garantie dès la mise en œuvre des dispositifs de collecte, et ce, par défaut.

 

Quelles sont les conséquences concrètes de la nouvelle réglementation ?

Ces nouveaux principes ont plein de conséquences pratiques. Par exemple, pour une newsletter online, demander l’adresse poste ou le numéro de téléphone de l’utilisateur devient non conforme. Si vous demandez des infos pour personnaliser votre emailing, un champ « nom » unique est censé être suffisant et il devient difficile de justifier la présence d’un champ permettant d’isoler le genre de la personne si le prénom est demandé.

Concernant les emailing, seul l’optin strict est conforme : aucune base de données non optin ne pourra plus être utilisée sans violer la loi.

Aujourd’hui, de nombreuses bases de données de type CRM sont non conformes, ainsi que les formulaires de collecte de données client que l’on trouve sur les sites internet. Bref, rare sont les entreprises qui sont véritablement prêtes se mettre en conformité avec la nouvelle législation.

Comment se mettre en conformité ?

RGPD-etape-mise-en-conformite-donnees-personnelles

Il est d’ores et déjà important de désigner en interne un chef de projet, un pilote qui va prendre connaissance des nouvelles règles et organiser le travail de préparation pour assurer la mise en conformité

Ensuite, il convient de cartographier et de recenser toutes les bases de données gérées dans l’entreprise, et de déterminer ce qui est conforme ou non vis à vis de la nouvelle législation. Il sera sans doute nécessaire de supprimer des champs dans certaines bases, ou d’anonymiser certaines données. Une fois ce travail fait, un registre des traitements de données personnelles doit être mis en place.

La 3ème étape consiste à prioriser les actions à mener pour être en conformité pour le 25 mai prochain : le plus important est d’intervenir sur les points qui constituent une violation des droits ou des libertés, ou les mettent en péril sérieusement

La 4e étape est d’évaluer les risques que vous faites courir aux droits et aux libertés. S’ils sont importants, vous devrez procéder à une analyse d’impact sur la protection des données (process baptisé PIA en anglais)

L’avant-dernière étape, c’est de revoir tous les processus de traitement des données pour les sécuriser au mieux

Et enfin, réaliser tous les documents qui attestent :
– du travail de mise en conformité
– des efforts accomplis pour la sécurisation des données
– et de la bonne gestion des risques inhérents à cette activité

C’est donc un travail important… Ne tardez pas trop à vous y mettre, car toute plainte d’un utilisateur qui viendrait à mettre en doute la conformité de votre entreprise au RGPD pourra déclencher des contrôles et des sanctions.

Liens utiles :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/dataviz