À compter du 25 mai 2018, toutes les entreprises qui collectent des données devront se soumettre au Règlement Général sur la Protection des Données. Ce règlement européen a été mis en place afin d’encadrer et d’encourager les bonnes pratiques. Il fait suite à la directive 95/46/CE de 1995 et a pour mission de redonner aux citoyens le contrôle de leurs données personnelles. Ceci, tout en simplifiant l’environnement réglementaire des entreprises. Zoom sur le RGPD et sur ses différents objectifs !
Les principaux objectifs du RGPD
Le RGPD entrera en vigueur en France en mai prochain. Cela fait maintenant 5 années que les instances européennes travaillent sur cette réforme de la protection des données. Ce Règlement Général sur la Protection des Données porte sur les données à caractère personnel et a pour mission de protéger la vie des internautes européens. À savoir que le terme anglais pour RGPD est General Data Protection Regulation.
Voici les quatre principaux objectifs du RGPD :
- Renforcement des droits des personnes
- Responsabiliser les acteurs qui traitent les données, c’est-à-dire les entreprises et les intermédiaires
- Renforcement de la sécurité numérique au sein de l’Union européenne
- Renforcement du contrôle et de l’application des sanctions sur tout le territoire
Même si cette règlementation viendra bousculer l’organisation des entreprises, notamment le secteur marketing, elle n’est pas là pour les punir. Son objectif est d’encadrer les bonnes pratiques et de leur permettre d’être conformes avec le règlement. Par ailleurs, si une entreprise est conforme avec la loi du 24 octobre 1995, elle pourra alors facilement être conforme avec le Règlement Général sur la Protection des Données.
Pour rendre la transition plus facile, Microsoft envisage d’accompagner ses utilisateurs dans l’initiation du RGPD. En effet, à partir du 25 mai 2018, des éditeurs de logiciels leur proposeront leur aide. Ils viennent aider les entreprises dans leur conformité au règlement.
Pour bien s’y préparer, d’ailleurs, il faudrait suivre ces quelques conseils :
- Se familiariser avec le Règlement Général sur la Protection des Données
- Savoir identifier et sécuriser les données personnelles de votre système
- Dresser une liste des données personnelles que vous gérez et s’assurer qu’elle est bien à jour
- Préparer des séances de formations pour le personnel et les employés pour qu’ils se plient aux exigences de confidentialité
- Mettre en avant les conseils en matière de régulation lorsqu’ils sont mis à disposition
- Demander l’aide d’un avocat pour avoir des informations juridiques
Les grandes mesures du RGPD
Il sera assez difficile de lister toutes les mesures listées par le texte de loi, mais voici les grandes mesures du RGPD qui s’appliquent aux entreprises et aux sous-traitants :
Identification du traitement des données personnelles
À partir du 25 mai 2018, la déclaration obligatoire à la CNIL ne sera plus applicable. Les entreprises sont tenues de garantir et de prouver que le traitement des données est conforme et sécurisé. Ceci, à tout moment. On parle notamment de mettre en avant les bonnes pratiques en termes de collecte, de stockage, d’utilisation, de partage et de destruction des données personnelles.
Le Data Protection Officer
L’engagement d’un Data Protection Officer n’est pas obligatoire pour toutes les entreprises, mais il reste tout de même conseillé. Celui-ci sera chargé de piloter la gestion et le traitement des données, tout en s’assurant du respect des obligations juridiques. À noter que le Data Protection Officer est obligatoire dans les organismes publics, les organismes manipulant des données à grande échelle et les organismes collectant des données sensibles.
Encadrement de la collecte de données
Hors de question de collecter des données personnelles sans avoir le consentement des utilisateurs. Vous l’aurez compris, la collecte de données sera strictement encadrée dès l’entrée en vigueur du RGPD. En plus d’obtenir le consentement de l’utilisateur, l’entreprise devra être en mesure de prouver l’utilisation future des données. C’est ce qu’on appelle l’opt-in.
Les nouveaux droits aux personnes
Pour les utilisateurs, la mise en place du Règlement Général sur la Protection des Données reste très avantageuse. Ces dispositions leur donnent de nouveaux droits, notamment le droit à la portabilité des données, le droit à l’oubli et le droit sur la protection des données des mineurs de moins de 16 ans.
Comment respecter les dispositions du RGPD ?
Nous le disions, le RGPD n’est pas là pour punir les entreprises. Or, pour le secteur marketing, la mise en place de cette disposition peut paraitre comme une menace. Dès la date d’entrée en vigueur, toutes les entreprises devront mettre en place des modifications sur leur fonctionnement. Pour les entreprises qui ne sont pas encore prêtes à respecter ce règlement, il faudra nécessairement se mettre en conformité avec des dépenses en logiciels et en services. Une charge non négligeable qui pourrait atteindre le milliard d’euros en 2018.
À partir du 25 mai prochain, il faudra obligatoirement avoir le consentement de chaque internaute avant de collecter ses données. Les entreprises seront contraintes à certifier que leurs contacts ont bel et bien donné leur consentement pour la collecte de leurs données.
Pour être sûr de respecter les dispositions, il est conseillé de :
- Vérifier que les contacts ont donné leur consentement pour la collecte de leurs données personnelles
- Pratiquer un audit de la base de données pour identifier les contacts
- Conserver au maximum les traces de la provenance des contacts
- Rendre publiques les pratiques de collectes et d’usage de données
- Vérifier que tous les projets futurs sont conformes au règlement
En cas de violation de la vie privée
Enfin, il est utile de noter qu’en cas de violation de la vie privée d’un utilisateur, l’organisme ou l’entreprise devra obligatoirement en informer la CNIL dans les 3 jours qui suivent. L’organisme sera tenu d’informer la Commission nationale de l’informatique et des libertés de la violation des droits de la personne en question.
