Le RGPD est le règlement général pour la protection des données. Il s’agit d’une directive européenne qui concerne la protection des données à caractère personnel.
Elle s’appliquera dans tous les états membres de l’UE (Union Européenne) à compter du 25 mai 2018 et vise à harmoniser la législation sur la protection des données. Le RGPD comporte quatre principes majeurs :
- Le principe du consentement : chaque client ou citoyen doit donner son accord pour la collecte de ses données personnelles.
- Le principe du droit à l’oubli : toute entreprise collectant des données personnelles doit les effacer dans les plus brefs délais, au cas où le citoyen ou client en effectue la demande. Toute personne peut également s’opposer au profilage, qui consiste à utiliser des données personnelles pour analyser ou prédire des éléments comme l’état de santé, les préférences personnelles, le comportement ou encore les déplacements.
- Le principe du droit à la portabilité des données personnelles : toute personne pourra obtenir ses données personnelles dans un format lisible et structuré. Le transfert desdites données vers d’autres acteurs devra être favorisé, si tant est que cela soit techniquement possible. Cela peut concerne les changements d’opérateur de téléphonie, de fournisseur d’accès à internet, d’assurance santé…
- Le principe du droit à l’information en cas de piratage des données personnelles dans un délai de 72 heures. Chaque personne peut demander et obtenir les logs du piratage.
Toutes les entreprises sont-elles concernées par le RGPD ?
Toute entreprise procédant à des traitements de données à caractère personnel sur le territoire européen est concernée par le RGPD et ses mesures. Il peut s’agir d’entreprises établies dans l’un des états membres de l’UE mais également d’entreprises hors UE qui traitent des données personnelles au profit de structures européennes ou qui traitent des données de citoyens européens. Le panel d’entreprises concernées par cette directive est donc très vaste : TPE/PME, société du CAC 40, sites de ventes en ligne, SSII, fournisseurs de services SaaS, éditeurs d’applications ou d’objets connectés… Les structures publiques – mairies, hôpitaux, ministères et tous les services publics – devront également se conformer au RGPD. Le chantier s’annonce donc de grande ampleur pour la plupart des entreprises françaises qui ne disposent, finalement, que de quelques mois pour se mettre au diapason du RGPD.
Comment mettre en place le RGPD en entreprise ?
La mise en place du RGPD en entreprise s’effectue via cinq grands points essentiels :
Nommer un Data protection officer (DPO) dans chaque entreprise
Cette personne incarnera le RGPD et sa mise en place en interne. Les qualités du DPO ? Il doit allier des compétences juridiques et techniques. Être un bon communicant s’avère aussi indispensable pour transmettre à l’ensemble des salariés et des membres de la structure les nouveaux réflexes à adopter. Ce DPO accompagne la conduite du changement. Pour les petites entreprises, ou celles qui ne trouvent pas la perle rare, il sera possible d’externaliser ce rôle, les avocats, consultants ou experts-comptables pouvant tout à fait endosser le costume.
Passer en revue l’ensemble des données personnelles collectées par l’entreprise ainsi que leur niveau d’obsolescence
Cette cartographie sert aussi à séparer les données dont la structure ne peut se passer et celles qui sont inutiles. Ces données devront toutes être soumises à un calcul de niveau de conformité avec les mesures du RGPD. Ce travail passe par une étude d’impacts, aussi appelée PIA (Private Impact Assesment). Lors de cette phase, tous les pôles métiers de l’entreprise sont mis à contribution. Cette étude servira aussi à renseigner le registre recensant la manière dont chaque entreprise traite les données personnelles et ce qu’elle en fait. La CNIL (Commission nationale de l’informatique et des libertés) pouvant demander ce document à tout moment.
Etablir un plan d’actions
Ce plan d’actions est nécessaire pour que toutes les données à caractère personnel satisfassent aux directives du RGPD, le moment venu. Cela peut passer par une modification de l’infrastructure informatique, qui peut être nécessaire pour pouvoir anonymiser les données privatives et les crypter. Il convient aussi de déterminer la finalité de chaque donnée et leur durée de conservation. Il faut également que le système informatique, le CMS, le logiciel ou l’outil de collecte de ces données permette leur transfert ou leur effacement pur et simple, au cas où la personne concernée ferait valoir son droit à l’oubli.
Mettre en place un processus en cas de violation des données
Ce processus en cas de violation des données est également crucial. En effet, le RGPD oblige chaque entreprise a notifier aux utilisateurs – leur ayant confié leurs données personnelles – qu’un piratage a eu lieu. Pour cela il est nécessaire de disposer d’un système d’alertes performant qui sera capable de délivrer les informations suivantes : la cause de la faille, les données impactées et leur volume.
Sensibiliser l’ensemble des collaborateurs au RGPD
Enfin, il s’avère important de sensibiliser l’ensemble des salariés et collaborateurs de l’entreprise au respect des données privatives collectées. Cette mesure concerne aussi les sous-traitants et les fournisseurs de la structure qui sont co-responsables du respect du RGPD. Tout document listant des données personnelles est concerné. Cela peut aller du modeste fichier excel énumérant les noms, prénoms et numéros de téléphone des clients, à la base de données d’un CMS e-commerce ou d’un listing de prospects dans un service commercial.
Quelles sont les sanctions encourues en cas de non respect du RGPD?
Si la mise en place du RGPD en entreprise semble être une tâche lourde, elle n’est rien à côté des sanctions encourues par les structures qui ne se mettraient pas en conformité. Jusqu’à présent, les entreprises ne satisfaisant pas aux règlements de la CNIL sur les données privées pouvaient être sanctionnées par une somme de 3 millions d’euros maximum. Avec le RGPD, toute entreprise contrevenante est sous la menace d’une sanction qui peut s’élever à 10 millions d’euros ou à 2 % du chiffre d’affaires pour une structure privée qui traiterait des données non nécessaires à son fonctionnement, oublierait de les anonymiser ou de les chiffrer ou ne leur garantirait pas un haut niveau de protection.
Pour les structures qui ne satisferaient pas au droit d’accès, de rectification ou au droit à l’oubli, la sanction peut se monter à 20 millions d’euros ou à 4 % du chiffre d’affaires pour les entreprises privées.
Ces sanctions pécuniaires viendront après plusieurs injonctions de la part de la CNIL qui peut interdire le traitement des données de manière temporaire ou définitive. L’autorité a aussi le pouvoir de suspendre un flux de données à destination d’un pays hors de l’UE.