Que dit la réglementation ?

Le RGPD est le nouveau texte de référence européen qui a été adopté en vue d’harmoniser la protection des données à caractère personnel sur l’ensemble du territoire de l’Union Européenne. Il a été voté en 2016 pour une application le 25 Mai 2018.

Le RGPD signifie Règlement européen Général sur la Protection des Données, ou en anglais : GDPR (General Data Protection Regulation).

Ce règlement s’appliquera directement dans le droit des états membres, sans qu’il ne soit nécessaire d’adopter des lois locales de transposition, contrairement à l’ancienne Directive de 1995.

Le RGPD, pour qui ?

Le RGPD concerne toutes les organisations, quel que soit leur taille, leur secteur d’activité et leur caractère privé ou public, dès lors qu’elles traitent des données personnelles d’un résident U.E. Les GAFA (NDLR : Google, Apple, Facebook et Amazon) sont également concernées. En effet le RGPD s’applique non seulement aux entités établies en Europe, mais aussi à celles qui proposent des offres ou services ou qui visent des résidents de l’Union européenne.

Tous les professionnels qui traitent des données personnelles sont concernés et responsables chacun à leur niveau. Ces acteurs peuvent intervenir en tant que responsable de traitement (celui qui décide des finalités et des moyens du traitement) et/ou de sous-traitant (celui qui traite tout ou partie des données pour le compte du responsable de traitement).

Les données personnelles, c’est quoi ?

Les données à caractère personnel (en bref, les données personnelles) sont toutes informations qui se rapportent à une personne physique, qu’elle soit identifiée directement (nom, prénom, adresse ou photo) ou simplement identifiable indirectement (numéro de téléphone, adresse IP, n° de RIB…).

Un traitement de données correspond à toute opération qui porte sur les données personnelles : de la collecte, l’enregistrement, à l’utilisation, la mise à disposition, le transfert, jusqu’à leur suppression.

Le RGPD, pourquoi ?

Le RGPD affiche 3 objectifs principaux :

Renforcer vos droits :
Vous devez être informé de ce que l’on fait de vos données !

Les internautes disposent du droit à l’information. Ce droit existait déjà dans les législations locales issues de la directive de 1995. Toute personne doit en effet être informée de l’identité du responsable de traitement, des destinataires, de la finalité envisagée, de la durée de conservation et des droits dont elle bénéficie sur les données la concernant. Avec le RGPD, cette information doit être transparente, compréhensible et aisément accessible. On peut dire que le droit à l’information devient désormais un droit à la compréhension !

Dans certains cas, le consentement peut être requis (ex : pour recevoir la newsletter d’une marque). En ce cas, ce consentement doit être libre, spécifique, éclairé et univoque. Ce consentement peut ainsi se matérialiser par une case à cocher (les cases pré cochées étant proscrites). Ce consentement doit pouvoir être retiré aussi facilement qu’il a été donné.

Par ailleurs, les personnes disposent toujours de la possibilité d’exercer leurs droits sur les données concernant : droit d’accès, de modification, de rectification, de suppression et d’opposition pour motif légitime (nota : l’opposition pour la prospection commerciale n’a pas à être justifiée).

Avec le RGPD ces droits s’enrichissent de nouveaux droits, comme le droit à la portabilité, le droit de s’opposer à une décision automatisée ou au profilage, le droit à l’oubli, le droit à la minimisation, …

Chaque personne peut exercer ses droits auprès du responsable du traitement qui a désormais l’obligation de lui répondre dans le délai d’un mois à compter de la demande.

Responsabiliser les acteurs :
Ceux qui gèrent vos données gèrent leur protection !

Auparavant, les professionnels devaient effectuer des formalités préalables déclaratives auprès de l’autorité compétente. Ce système déclaratif est supprimé au profit d’une conformité interne en continu. Les entreprises doivent notamment tenir un registre des traitements, c’est-à-dire recenser tous les traitements effectués par elles ou pour le compte de leurs clients. A l’appui de ce registre, les professionnels devront par ailleurs documenter l’ensemble de leurs procédures internes de protection des données.

Dans certains cas, pour les organismes publics, ou les sociétés traitant des données personnelles à grande échelle et/ou de données dites sensibles, la désignation d’un DPO (Data Protection Officer), est obligatoire pour les accompagner et les conseiller dans leur mise en conformité. Dans les autres cas, cela reste fortement conseillé. En effet, le DPO est un véritable chef d’orchestre en matière de protection des données ; il exerce une mission d’information, de conseil et de contrôle interne.

Crédibiliser les autorités de contrôle :

Les autorités de contrôle n’ayant plus à instruire les demandes de déclaration, elles auront désormais plus de temps pour contrôler et accompagner les professionnels dans leur démarche de conformité au RGPD.

Elles vont par ailleurs coopérer afin de faire respecter la protection des données personnelles de manière harmonisée sur l’ensemble du territoire U.E.

Le RGPD, quelle sécurité pour mes données ?

Avec le RGPD, la sécurité est placée au cœur de la protection des données via de nouveaux concepts.

La protection des données doit être prise en compte dès la conception du projet, en prévoyant des mesures techniques et organisationnelles afin de garantir un niveau de sécurité adapté au risque : c’est ce que l’on appelle le Privacy by design. Les entreprises doivent également intégrer le plus haut niveau de protection des données par des mesures de sécurité adaptées (gestion et limitation des accès, chiffrement…) : il s’agit du Security by default.

Egalement, les professionnels doivent mettre en place une procédure en cas de violation de données personnelles (telles que destruction, altération, divulgation, accès illégal...).

Enfin, des analyses d’impact (PIA) sont désormais obligatoires pour les traitements à risques élevés pour les données personnelles (ex : traitement à grande échelle de données sensibles, surveillance systématique de zones accessibles au public, activité de profilage).

En résumé : Le RGPD ne bouleverse pas tout !
Le RGPD consacre de nombreux principes déjà connus (loyauté, finalité claire et précise, durée de conservation limitée, mesures de sécurité, …). Le RGPD vient par ailleurs renforcer cette protection, en responsabilisant les acteurs et en donnant davantage de droits aux personnes. Cette nouvelle réglementation permet ainsi de répondre aux attentes des internautes qui souhaitent retrouver la maîtrise de leurs données et de restaurer la confiance dans les entreprises qui placent la protection des données au cœur de leurs priorités.