Si vous êtes dirigeant d’entreprise ou simple citoyen, vous avez certainement déjà entendu parler du RGPD ou Règlement Général sur la Protection des Données. Entrant en vigueur le 25 mai 2018, ce nouveau règlement va profondément affecter le monde du digital : les droits des personnes seront renforcés, les méthodes de marketing seront « humanisées » et les sanctions pour les entreprises seront plus marquées.
Le RGPD en quelques lignes
Le RGPD est un ensemble de dispositions européennes qui visent à améliorer la protection des données personnelles des citoyens européens. Ce règlement entrera en vigueur à partir du 25 mai 2018. Et à partir de cette date, les entreprises devront être capables de démontrer leur conformité avec ce nouveau règlement. Pratiquement, le RGPD oblige les entreprises à prouver que leurs méthodes de collecte, leurs méthodes d’utilisation (finalité) et leurs méthodes de gestion des données répondent bien aux exigences du RGPD. Notez que tout le monde est concerné par ce nouveau règlement à partir du moment où l’on réalise des traitements de données personnelles des citoyens européens.
Que sont les données personnelles ?
En fait, toutes les dispositions du RGPD tournent autour de la notion de données personnelles. Une donnée personnelle c’est : « toute forme d’information qui peut être associée directement ou indirectement à un individu et qui concerne sa vie privée, professionnelle ou publique. Il peut donc s’agir d’un nom, d’une adresse e-mail, d’une photo, de données médicales, de données financières, d’une adresse IP… ».
Et les données personnelles peuvent être contenues dans divers types de conteneurs : fichier Excel contenant des informations sur les clients, fiche médicale…
Les piliers du RGPD ?
Après analyse, on constate que le RGPD repose sur 4 grands piliers :
- Le droit à l’oubli (droit à l’effacement) : le droit qui permet à toute personne concernée de demander au responsable du traitement que ses données collectées par ce dernier soient supprimées ;
- La transparence (droit à l’information) : les personnes concernées ont le droit d’avoir des informations claires et compréhensibles sur la manière dont leurs données sont rassemblées et traitées ;
- Obligation de notification : en violation des données, les entreprises sont tenues d’informer les personnes concernées et la CNIL de la violation dans les 72 heures qui suivent la constatation de la violation. La notification n’est pas nécessaire si la violation ne présente aucun risque pour les données personnelles ;
- Le consentement : sans consentement, pas de traitement. À partir du 25 mai, les entreprises devront obtenir le consentement de la personne concernée avant de pouvoir réaliser un traitement. Ce consentement doit être formulé de manière libre et sans équivoque.
Ce qui vous attend en cas de non-conformité
Outre les nouvelles obligations qui incombent aux entreprises et les nouveaux droits dont disposent les citoyens, les sanctions prévues par le RGPD font partie des plus importants changements apportés par ce nouveau règlement. Ces sanctions sont sévères surtout si la violation est en rapport avec les droits des personnes. Dans ce cas-là, l’entreprise s’expose à une amende financière de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial (c’est le montant le plus élevé qui sera retenu).