RGPD : neuf notions essentielles à retenir

 

 

Le RGPD consacre un nouveau mode de régulation des données personnelles. (Crédits : iStock)

https://www.latribune.fr/journalistes/sylvain-rolland-188

Que signifie RGPD-GDPR

Le Règlement général sur la protection des données, ou GDPR (General Data Protection Rule) modernise une précédente directive, datant de 1995 et révisée en 2004. Voté en mai 2016 par le Parlement européen après quatre ans de négociations, le RGPD définit un ensemble de règles communes pour tous les acteurs traitant à grande échelle des données personnelles de citoyens européens. Il remplace de fait les 28 législations existantes

 

Données personnelles

Il s’agit de toutes les informations liées à une personne physique identifiée ou identifiable: le nom, le prénom, l’adresse postale, l’adresse courriel, les données de localisation… Dans la mesure où la plupart des données anonymisées peuvent tout de même conduire à l’identification d’un individu, le règlement s’applique de fait à tous les acteurs – ou presque – traitant des données personnelles.

Ce que les entreprises doivent être capables d’expliquer

Avec le RGPD, n’importe quelle entreprise dans le monde traitant des données de citoyens européens devra être capable d’expliquer clairement pourquoi les données sont collectées. Le citoyen européen est en droit de connaître depuis quand les données sont récoltées, combien de temps elles seront stockées, où, et avec quels moyens de sécurisation. L’entreprise doit aussi expliquer avec quelles autres sociétés les données seront partagées et comment elles seront exploitées par ces tiers (marketing personnalisé, achat programmatique…).

Consentement “explicite”

L’utilisateur devra donner un accord non ambigu pour la collecte et l’exploitation de ses données. S’il refuse, il devra tout de même pouvoir accéder au site concerné, dans la mesure du possible. Ce qui n’est pas le cas actuellement : de nombreux acteurs imposent d’accepter l’exploitation des données personnelles – dans des termes souvent peu clairs – sous peine de se voir refuser l’accès au service. Les entreprises qui s’adressent aux mineurs de moins de 16 ans devront rédiger le texte de consentement en des termes clairs et facilement compréhensibles.

Portabilité des données

La loi informatique et libertés de 1978 a créé un droit d’accès aux données. Le RGPD va plus loin avec la portabilité des données, qui permet à un individu de demander à une entreprise de lui fournir, « dans un format structuré, couramment utilisé et lisible par machine » (art. 20), l’intégralité de ses données personnelles, pour qu’il puisse les transférer à un autre prestataire. De quoi, par exemple, changer d’énergéticien sans perdre son historique de consommation.

Les nouveaux droits des citoyens

Renforcé par le RGPD, le droit à l’effacement dit « droit à l’oubli » (article 17) permet à un individu de demander la suppression de ses données personnelles. Le « responsable du traitement » doit l’effectuer « dans les meilleurs délais ». Par ailleurs, vous pouvez aussi exercer à tout moment votre droit de rectification (art. 16), votre droit à la limitation du traitement (art. 18) et votre droit d’opposition (art. 21). Ce dernier s’applique par exemple lorsque les données personnelles sont utilisées à des fins de prospection. En cas de violation au règlement, des actions collectives peuvent être menées par des associations actives dans le domaine de la protection des droits et libertés.

DPO (Data Protection Officer)

Le Data Protection Officer (DPO) est le chef d’orchestre de la gouvernance des données au sein d’une entreprise ou d’une collectivité. Sa désignation est une obligation pour les structures publiques (hôpitaux, collectivités…) et pour les entreprises qui traitent des données à grande échelle, ou des données « sensibles » (données génétiques, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale). Le G29 (organisme qui fédère l’ensemble des Cnil européennes) encourage les entreprises non soumises à obligation de se doter tout de même d’un DPO, en interne ou externalisé.

25 mai 2018

À partir de cette date, les entreprises en non-conformité avec la réglementation s’exposeront à des sanctions qui dépassent de très loin le périmètre actuel de la Commission nationale de l’informatique et des libertés (Cnil). En cas de manquement, notamment au “privacy by design” (intégrer la protection de la vie privée dès la conception) et au “privacy by default” (garantir le plus haut niveau de protection des données), les contrevenants risquent de payer une amende s’élevant à 10 millions d’euros ou, dans le cas d’une entreprise, à 2% du chiffre d’affaires annuel mondial. Ils encourent jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pour manquement aux droits des personnes (portabilité, rectification, opposition, limitation, droit à l’oubli…)

Fin des obligations déclaratives

Cette mise en marche forcée des acteurs traitant des données personnelles, sous peine de sanctions d’une ampleur inédite, vise aussi à alléger les formalités administratives. Le RGPD supprime les obligations déclaratives. En revanche, les structures de plus de 250 salariés (et celles de moins de 250 salariés mais dont le traitement de données peut avoir des répercussions sur la vie privée) doivent mener une étude d’impact sur la vie privée (EIVP) et tenir à jour en permanence un registre de traitement qui pourra être demandé par la Cnil en cas de contrôle.

Laisser un commentaire