Le règlement européen de protection des données, dit RGPD, est entré en vigueur dans tous les pays de l’Union européenne le 25 mai 2018. Il pose un nouveau cadre juridique en matière de protection des données personnelles des citoyens européens, afin de répondre aux évolutions du numérique.
Quel impact en matière de protection des données ? Quelles entreprises sont concernées ? Zoom sur le nouveau règlement général sur la protection des données.
Qu’est-ce que le RGPD ?
Le Règlement Général de Protection des Données – RGPD – est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union Européenne.
Il est entrée en application le 25 mai 2018.
Le RGPD s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 établissant des règles sur la collecte et l’utilisation des données sur le territoire français.
Il a été conçu autour de 3 objectifs :
- renforcer les droits des personnes,
- responsabiliser les acteurs traitant des données,
- crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données.
Quel est l’objectif du RGPD ?
Le Règlement Général sur la Protection des Données – RGPD – vise à renforcer la protection des données à caractère personnel en encadrant l’accès, l’utilisation et la distribution des données personnelles des citoyens européens et en revalorisant les droits des personnes concernées par les données.
Qui est concerné par le Règlement Général sur la Protection des Données – RGDP ?
Le RGPD s’adresse à toute structure privée ou publique (entreprises, administrations, associations, hébergeurs, intégrateurs de logiciels, agences de communication…) effectuant de la collecte et/ou du traitement de données, et ce quel que soient son secteur d’activité et sa taille.
Le règlement s’applique à tous les organismes établis sur le territoire de l’Union Européenne, mais aussi à tout organisme implanté hors de l’UE mais dont l’activité cible directement des résidents européens.
À noter que le RGPD concerne également les sous-traitants, c’est-à-dire toute structure qui traiterait ou collecterait des données pour le compte d’une autre entité.
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle se décrit comme toute information relative à un particulier identifié ou identifiable, directement ou indirectement, grâce à un identifiant ou à un ou plusieurs éléments propres à son identité.
Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont effectuées, on considère qu’il s’agit de traitement de données.
La CNIL donne les actions suivantes à titre d’exemple du traitement des données :
- tenue d’un fichier de ses clients,
- collecte de coordonnées de prospects via un questionnaire,
- mise à jour d’un fichier de fournisseurs.
RGPD : comment se mettre en conformité ?
Voici 4 actions principales à mener pour entamer votre mise en conformité aux règles de protection des données. Ces actions doivent perdurer dans le temps pour être efficaces.
1. Constituez un registre de vos traitements de données
Identifiez toutes les activités principales de votre entreprise nécessitant la collecte et le traitement de données (ex : formulaires de recrutement, gestion de la paie, gestion des clients prospects…). Le registre doit contenir une fiche pour chacune de ces activités recensée en précisant :
- l’objectif poursuivi (ex : fidélisation client),
- les catégories des données utilisées (ex : nom, prénom, adresse mail, activité),
- qui a accès à ces données (ex : service informatique et communication)
- et la durée de conservation de ces données (durée opérationnelle et conservation en archive).
2. Faites le tri dans vos données
Pour chaque fiche de registre créée, vérifiez que vous ne collectez que les données vraiment nécessaires.
3. Respectez les droits des personnes
Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données (clients, collaborateurs…).
Pour chaque collecte de données personnelles, respectez le droit des personnes en matière de consultation, de rectification ou de suppression des données.
→ Appuyez-vous sur les exemples de mentions de la CNIL
4. Sécurisez vos données
Si le risque zéro n’existe pas en informatique, les mesures nécessaires doivent être prises pour garantir aux mieux la sécurité des données. Vous êtes en effet tenu d’assurer la sécurité des données personnelles détenues. (ex : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe…).
Quelles sanctions ?
En cas de non-conformité, vous risquez une amende de 4 % de votre chiffre d’affaires avec un plafonnement à 20 millions d’euros.
→ La CNIL a lancé, en mars 2019, une formation en ligne sur le RGPD : « L’atelier RGPD ». Ce MOOC a été élaboré par les juristes et les experts de la CNIL. Il est gratuit et ouvert jusqu’en septembre 2021. Tous les professionnels souhaitant découvrir ou mieux appréhender le RGPD peuvent s’y inscrire : cliquez ici
