RGPD : Règlement Général sur la Protection des Données

Le RGPD (ou GDPR, en anglais) est un règlement européen qui concerne la protection des personnes physiques vis-à-vis du traitement des données à caractère personnel, ainsi que la libre circulation de celles-ci.

Ce règlement européen a été publié le 4 mai 2016. La RGPD sera applicable et obligatoire pour l'ensemble des États de l'Union Européenne dès le 25 mai 2018.

Le RGPD poursuit plusieurs objectifs :

1. Uniformiser au niveau européen la réglementation sur la protection des données.
2. Responsabiliser davantage les entreprises en développant l'auto-contrôle.
3. Renforcer le droit des personnes (droit à l'accès, droit à l'oubli, droit à la portabilité, etc…)

Le RGDP est le nouveau texte de référence en matière de protection des données au niveau européen. Celui-ci a été publié en mai 2016, la version finale du texte, qui fait 88 pages, est accessible à cette adresse (en français) :

http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

Le RGPD rentrera en vigueur le 25 mai 2018. Dans la mesure où il s'agit d'un règlement européen, et non d'une directive, le texte entrera en application directement et en même temps pour tous les États membres de l'Union Européen, sans transposition.

Le RGPD remplacera la directive 95/46/CE (publiée en 1995). Cette directive a servi, en France à la loi Informatique & Libertés. Étant donnée, l'évolution de la technologie et du numérique ces dernières années. L'Europe a voulu adapter et moderniser le cadre juridique en matière de protection des données.

Le RGPD a pour but de “redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l'environnement réglementaire des entreprises”.

Toutes les entreprises qui récoltent et traitent les données de personnes physiques situées sur le territoire de l'Union Européenne.

Cette réglementation s'applique sans tenir compte du lieu de traitement de ces données. De plus, elle ne limite pas qu'aux entreprises qui traitent directement ses données, les sous-traitants sont également concernés par cette réglementation.

La définition de “donnée à caractère personnel” figurant dans le texte est très large. Il s’agit de toute information se rapportant à une personne physique identifiée (directement) ou identifiable (indirectement).

Par exemple, les adresses email professionnelles de type “nom.prénom@societe.fr” sont des données personnelles (individu identifiable).

A contrario, les données relatives aux personnes morales telles que les coordonnées de l’entreprise ou les adresses email génériques du type “contact@societe.fr” ne sont pas concernées.

Avec la mise en place de cette réforme, l'utilisateur bénéficie de 3 droits majeures sur leurs données personnelles :

• Le droit d'accéder à ses données : Chaque personne a le droit de savoir si ses données sont analysées (c'est-à-dire de savoir où elles sont conservées et le but final de l'analyse). Le responsable du traitement est tenu de fournir une copie des données gratuitement sous format électronique.
• Le droit à l'oubli : Chaque personne peut exiger que ses données soient supprimées, mais qu'elles ne soient plus diffusées et traitées. L'utilisateur peut justifier cette demande en retirant son consentement ou encore en disant que les données sont obsolètes ou non pertinentes. Exemples : Suppression d'un contenu, un commentaire ou un profil sur un site internet.
• Le droit à la portabilité des données : Chaque personne peut demander à recevoir l'ensemble de ses données personnelles sous format informatique lisible par tous pour pouvoir les transmettre à un autre responsable de traitement. Exemples : Transfert de données personnelles lors d'un changement de banque, réseau social, opérateur téléphonique, commerçant, etc…

L'ensemble de ses droits utilisateurs ne doit pas être oublié dans le cadre de démarches marketing ou de relation commerciale.

Comme toutes les réglementations, le RGPD engendre des pénalités en cas de non-respect. Nous allons voir les différentes sanctions en fonction de l'infraction :

• Un avertissement est donné, si c'est la première fois ou que la faute est non intentionnelle.
• Réalisation d'audits périodiques (CNIL), afin de vérifier que l'entreprise respecte la réglementation.
• Une sanction de 10 millions d'euros ou de 2% du chiffre d'affaires annuel pour une entreprise en cas de manquement au Pricvacy By Design, Privacy By Default, etc…
• Une sanction de 20 millions d'euros ou de 4% du chiffre d'affaires annuel pour une entreprise en cas de manquement aux droits des personnes (le droit d'accéder à ses données, le droit à l'oubli, le droit à la portabilité des données, etc…)

Dans chacun des cas, le montant le plus élevé sera pris en compte.

La mise en conformité pour le RGPD peut s'organiser autour de 4 étapes successives :

1. La définition du périmètre du RGPD : Identification des acteurs clés.
2. La réalisation d'un diagnostic général des pratiques : Identifier le processus de collecte, stockage et traitement des données personnelles.
3. La hiérarchisation et l'ordonnancement des actions à mettre en place : Définition des plans d'action.
4. La mise en oeuvre des actions.

Détail : http://www.custup.com/etapes-conformite-gdpr/

Sources :

• http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR
• https://www.retis.be/gdpr-explication/
• https://www.haas-avocats.com/ecommerce/rgpd-focus-sur-les-sanctions/
• http://www.custup.com/etapes-conformite-gdpr/

• https://www.maddyness.com/2018/04/12/maddytips-conformite-rgpd/
• https://www.rgpd-b2b.com/rgpd-b2b

• https://www.infopro-digital.com/rgpd-gdpr/fr/
• https://www.plickers.com/privacy
• https://doodle.com/privacy-policy
• https://legal.hubspot.com/privacy-policy