Depuis 1978, la loi informatique et libertés protège les données de l’ensemble des citoyens français. Le RGPD * approuvé par l’union européenne en avril 2016 viendra renforcer cette loi en accroissant les droits des citoyens européens concernant la maîtrise de leurs données. Ce règlement rentrera en vigueur en mai 2018. Quels seraient donc les enjeux pour les entreprises, contraintes à respecter cette nouvelle directive ?

Le but du RGPD et ses principes

Le RGPD s’appliquera à toutes les entreprises traitant des DCP** dans l’UE à partir du 25 mai prochain. Son rôle est de protéger la vie privée de tous les citoyens de l’union européenne de l’ensemble des infractions dans un monde axé sur l’exploitation massive de données. Bien que l’ancienne directive protège actuellement les individus, une loi appuyant ce dispositif était inévitable pour les protéger au mieux.

Il faut noter que le RGPD ne s’applique pas aux entreprises ne traitant que des données relatives à des personnes morales sauf si ces dernières sont amenées à collecter des données qui concernent les représentants de ces personnes morales.

Les principes du RGPD :

• • Le consentement :

Tout individu doit exprimer explicitement et positivement son consentement concernant la collecte de ses données personnelles.

• La transparence : Des informations claires et sans ambiguïté sur le traitement des DCP doivent être fournies aux individus concernés. Ces informations doivent être compréhensives et accessibles par tous.

• Le droit d’accès : chaque utilisateur a le droit d’un accès facile à ses données. Une entreprise a un délai d’un mois pour satisfaire ce type de demandes sous peine d’être sanctionnée.

• Le droit d’oubli pour tous : Dorénavant, les entreprises auront un préavis d’un mois pour supprimer les données après une demande formulée par le concerné. Cette suppression concerne aussi les copies et les reproductions de ces données.

• Le droit à la portabilité des données : Le droit des personnes à récupérer leurs données sous un format facilement réutilisable.

• La notification d’infraction : Toute entreprise est obligée d’alerter ses utilisateurs en cas de faille de sécurité dans un délai de 72h.

• La désignation d’un responsable de protection des DCP : Toutes les entreprises traitant des DCP ont pour obligation de désigner un DPO***. Cette personne sera chargée de la gestion des données et du contrôle de la conformité de l’entreprise avec le RGPD.

Le RGPD et ses effets

Les principes cités ci-dessus permettront d’avoir :

• Une réglementation uniformisée au niveau européen
• Une responsabilisation importante des entreprises avec l’auto-contrôle
• Un renforcement du droit des personnes sur leur vie privée.

Ainsi, le RGPD a vocation à sanctionner l’ensemble des entreprises européennes ne respectant pas les directives notées. En cas d’infraction, une amende peut être pratiquée, celle-ci pouvant atteindre jusqu’à 20 millions d’euros. Une mesure assez dissuasive pour obliger les sociétés à se plier au règlement. Par conséquent, en cas d’amende imposée, certaines entreprises pourraient facilement se retrouver dans une situation financière tellement délicate qu’elle pourrait impacter leur activité voire causer l’arrêt de cette dernière.

Le rôle de la CNIL dans ce processus

Les formalités effectuées jusqu’aujourd’hui auprès de la CNIL par les entreprises traitant des DCP** disparaîtront au profit d’un auto-contrôle continu à la conformité au RGPD*. Le respect des textes réglementaires doit être vérifié tout au long de la durée de vie de la donnée. Cependant, cette mesure permet à la CNIL d’avoir plus de pouvoir pour sanctionner les infractions.

Donc pour décider d’une éventuelle inspection, la CNIL se basera sur :

• Son programme annuel des contrôles,
• Sur les plaintes déposées par les utilisateurs,
• Sur les informations relayées par les médias.

Pour aider les entreprises à se préparer aux nouvelles réglementations, la CNIL met en ligne des référentiels pour aiguiller les entreprises dans leurs démarches. Ces directives permettront aux entreprises de se mettre en conformité avec le RGPD et d’éviter toute sanction. Voir article « Se préparer au RGPD en 6 étapes » .

Dans un premier temps, les contrôles opérés dans le cadre de la conformité au RGPD auront pour objet d’accompagner les entreprises vers une bonne compréhension des mesures à suivre pour une mise en œuvre efficace.

Néanmoins, Alsatis Entreprises qui place l’accompagnement de ses clients au cœur de sa politique commerciale reste à votre disposition pour vous éclairer sur le dispositif RGPD et vous aider à anticiper la mise en place des bons outils et des bonnes pratiques.

*RGPD : règlement général sur la protection des données
**DCP : données à caractère personnel
***DPO : Data protection officer (Officier de protection de données)