Que vous en ayez entendu parler ou pas, le Règlement Général sur la Protection des Données, applicable à partir de mai 2018, concerne tout aussi bien les Grands Groupes que les PME et ETI qui traitent des données de quelques manières que ce soit.
Pourquoi c’est important ? Le Règlement Général sur la Protection des Données (ou RGPD pour les intimes), va amener un bon nombre de changements techniques et juridiques pour toutes les entreprises. Il suffit de collecter et/ou gérer des données rattachées à des individus européens, même à travers un tiers pour que le RGPD s’adresse à vous.
Les 10 points essentiels à retenir
RGPD : règlement générale sur la protection des données personnelles
Mise en place le 25 mai 2018 ( délai d’ajustement de 2 ans )
Concerne toute entreprise gérant des données personnelles d’européens (PME/ ETI/ Grands Groupes)
Accountability : l’entreprise est automatiquement perçue comme conforme aux règles
Informer et avoir le consentement des personnes dont on traite les données
Deux notions : Privacy by Design (tout doit être conçu pour protéger les données) et Privacy by Default (la sécurité est assurée par défaut)
Les consommateurs disposent du droit à l’oubli, droit à la portabilité (suppression des données suite à la demande des personnes concernés) et droit de modification
Mise en place d’un système d’anonymisation des données
Avoir un Data Protection Officer qui peut être représenté le DSI dans une PME
Risques : jusqu’à 20 millions d’euros d’amendes pour les PME et 4% du chiffre d’affaires annuel pour les grandes entreprises.
Pour plus de détails :
Il s’agit d’un ensemble de 99 articles imposant des conditions restrictives sur l’exploitation des données personnelles des citoyens européens. Chaque pays a la possibilité d’aménager 50 lois locales, et dans le cas de la France, la CNIL a décidé de conserver la majorité des lois européenne.
Les principes fondamentaux du RGPD :
Tout d’abord, il faut savoir qu’une donnée est considéré personnelle dès qu’elle permet l’identification rapide et directe d’une personne.
Dorénavant, selon le principe de l’accountability, une entreprise n’aura plus besoin de déclarer ou demander une autorisation pour traiter des données mais en contrepartie elle doit automatiquement être conforme aux règles et elle est tenue comme responsable de ses actes et doit pouvoir prouver le bon usage qu’elle en fait en cas de contrôle.
De plus, elle devra respecter la notion de consentement qui consiste à informer de manière très claire les personnes concernées de l’utilisation et de la finalité de leurs données.
Qu’est-ce qui change ?
Le concept de Privacy by Design littéralement “confidentialité par dessein” signifie que tout au long d’un processus, de la conception à la mise en place d’un bien ou d’un service, la protection des données personnelles traitées est au coeur des préoccupations. On entend par là que tout doit être pensé pour garantir aux individus le maximum de protection possible pour les données communiquées ou récoltées.
Par ailleurs, le principe de Privacy by Default permet la garantie par défaut du plus grand niveau de protection des données personnelles.
De plus, il est à présent interdit de collecter et d’exploiter des données appartenant à des enfants âgés de moins de 16 ans sans aucune autorisation parentale explicite au préalable.
Aussi, les consommateurs disposent de certains droits sur l‘exploitation de leurs données : - le droit de s’opposer à certains traitements des données - le droit à l'oubli ,c'est-à-dire la possibilité d’effacer leurs données - le droit de la portabilité des données, qui permet de les transférer vers un autre opérateur
Et enfin, il faudra mettre en place des systèmes de sécurisation des données spécifiques, notamment pour les organisations qui traitent des données à caractère sensible (données bancaires, médicales, etc.)
Pour se faire, il est nécessaire de mettre en place d’un système d’anonymisation empêchant l’identification des individus. Un Data Protection Officer (DPO) devra dès lors être désigné afin de vérifier la conformité des activités. Il devra aussi être capable de fournir des preuves de la conformité de son activités. Dans le cas d’une PME, il n’est pas indispensable d’engager un DPO, le DSI (directeur système informatique) pouvant être formé aux tâches de ce dernier.
Quelles sont les conséquences si les règles ne sont pas respectées ?
En cas de non respect des RGPD, les entreprises s’expose à des risques de sanctions : jusqu’à 20 millions d’euros d’amendes pour les PME et 4% du chiffre d’affaires annuel pour les grandes entreprises.
Pour conclure, les RGPD doivent être au cœur des préoccupations des entreprises notamment les PME. Il ne faut pas s’inquiéter, car au final, ce n’est seulement qu’un renforcement de règles déjà mises en place. Il suffit tout simplement d’intégrer un ensemble de bonne pratique.
--
Chaima Bouhria