Le RGPD est l’acronyme de Règlement Général de Protection des Données (en anglais GDPR pour General Data Protection Regulation). Ce règlement n°2016/67 est directement applicable dans l’ensemble des 28 États membres de l’Union à compter du 25 mai 2018 et sert de référence européenne en matière de protection des données à caractère personnel. Le RGPD remplace la directive sur la protection des données personnelles adoptée en 1995 et vient compléter les lois nationales.
Quelques rappels
En premier lieu, les données à caractère personnel sont des informations qui se rapportent à une personne vivante identifiée ou identifiable comme un nom de famille, une adresse personnelle, un email ou encore une adresse IP. Le traitement des données à caractère personnel recouvre une large gamme d’opérations. On peut lister la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction des données à caractère personnel. À titre d’illustration, la gestion d’un fichier client ou fournisseurs, la gestion d’un fichier des employés ainsi que le stockage en base de données sont trois exemples de traitement. De plus, il doit y avoir un fondement juridique au traitement des données personnelles : consentement individuel (libre, éclairé, explicite), ou une obligation légale, ou une obligation contractuelle, ou un intérêt public, ou des intérêts vitaux, ou un intérêt légitime (afin d’exécuter des missions liées à vos activités professionnelles ne bafouant pas les droits et libertés fondamentaux individuels).
Pourquoi un tel règlement ?
Le RGPD vise à renforcer et unifier la protection des données pour les individus au sein de l’Union en ce qui concerne l’information sur le traitement des données à caractère personnel, leur accès et la possibilité de modifier et de supprimer ces données (on parle alors de droit à l’oubli). Ce n’est pas tout. Il est aussi question de pouvoir s’opposer aux traitements, de limiter leur finalité, de modifier leur portabilité. Un consommateur européen peut contester des décisions fondées sur un traitement automatisé et leur remplacement par des décisions prises par des personnes physiques. Les entreprises et les organisations auront un délai d’un mois pour répondre. Une action peut être portée auprès d’une Autorité de Protection des Données ou directement contre une entreprise ou une organisation. Le RGPD s’applique mondialement à tout traitement par un individu, une entreprise ou une organisation des données à caractère personnel concernant des individus au sein de l’Union européenne. C’est une bonne nouvelle pour toutes les entreprises et les organisations. En effet, être en mesure de prouver sa conformité sera un bonus d’image apprécié des clients finaux. C’est aussi, et surtout, une opportunité d’identifier toutes les données collectées, de comprendre comment elles sont traitées et de prendre le temps de la réflexion sur un meilleur usage en vue d’améliorer l’activité existante à partir de la Data intelligence. Par exemple : vendre plus, garder plus de clients, identifier des clients similaires aux clients existants pour les adresser. Pour les plus pragmatiques d’entre nous, ne pas être conforme au RGPD peut entraîner d’importantes sanctions – jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. L’application du RGPD sera différente en fonction de la nature de l’activité de chaque entreprise.
Les 4 principes à retenir
- La limitation des finalités du traitement des données consiste à
informer préalablement les personnes des traitements qui seront
effectués à partir de leurs données personnelles. À noter que les
données peuvent être utilisées pour d’autres finalités dans quatre cas
bien précis et après avoir vérifié que la nouvelle finalité est
compatible avec la finalité initiale : l’intérêt légitime, le contrat ou
d’intérêts vitaux, les statistiques et la recherche scientifique.
- La minimisation des données : le traitement des données collectées
doit être indispensable (si on peut fonctionner avec des données
anonymisées, il faut le faire) et limité à sa finalité. Toute donnée
inutile dans ce cadre ne doit pas être collectée, et si elle l’a déjà
été doit être supprimée.
- Les périodes de conservation qui doivent être les plus courtes
possible prenant en compte les obligations légales de conservation, les
délais de traitement et les éventuelles recommandations des Autorités de
Protection des Données.
- La transparence : les individus doivent être clairement informés sur
qui collecte les données ? Pour quelles finalités ? Pour quel motif
juridique ? Pour quelles catégories de données à caractère personnel ?
Pour quelle durée ? Y a-t-il d’autres destinataires éventuels aux
données ? Les données vont-elles être transférées hors d’Europe et avec
quels risques ? Quel droit d’accès, de suppression, de modification, de
réclamation ? Quelles conséquences en cas de prise de décision
automatisée et comment s’y opposer ?
Mode d'emploi: les 6 étapes à suivre
1. Désignez un chef de projet RGPD et éventuellement un Data
Protection Officer (DPO). Dans le cas où vous n’avez pas déjà de
compétences en interne, un DPO peut-être un avocat pour les premières
années d’application du RGPD. On peut en effet probablement s’attendre à
des adaptations, des changements ainsi que des jurisprudences à
appliquer.
2. Choisissez une bonne solution logicielle pour structurer votre
mise en conformité. Identifiez vos traitements de données en ayant une
vision macro. Inutile de rentrer dans les détails au risque de vous
compliquer inutilement la vie ultérieurement.
3. Auditez vos traitements, éventuellement menez des études de
risques et d’impact et obtenez un plan de conformité. Le choix de la
solution logicielle prendra beaucoup de sens à cette étape : le gain de
temps – ou la perte – pouvant être de 1 à 5.
4. Devenez conformes avec le RGPD en gérant vos priorités et vos
risques puis obtenez la validation de votre Data Protection Officer.
5. Documentez et tenez vos registres obligatoires. N’oubliez pas
que vous aurez probablement des ajouts ou des modifications à faire sur
vos registres, voire aurez des interactions avec des tiers. Privilégiez
une solution logicielle de marché solide et évolutive.