Qu'est-ce que le RGPD ?

26 mars 2018 par Pierre-Charles Juhel | Expert invité

Le RGPD, vous en avez entendu parler et nous l’avons évoqué dans les 15 changements à connaître pour le chef d’entreprise en 2018. Ce Règlement Général sur la Protection des Données (RGPD) à caractère personnel est applicable et obligatoire depuis le 25 mai 2018 pour toutes les entreprises concernées. Alors, le RGPD qu’est ce que c’est ? Etes vous concerné ? Si oui, quels sont les changements à venir et comment s’y préparer ? On vous dit tout dans cet article.

A l’heure où la transformation digitale des entreprises demeure un enjeu majeur, ce changement de paradigme s’accompagne de son lot de nouveautés et de bonnes pratiques. En outre, disposer d’un site internet c’est se donner la possibilité d’acquérir et compiler des données sur vos prospects et vos clients.

Seulement voilà, quid de la vie privée ? Dans une atmosphère de plus en plus tendue et où les consommateurs sont de plus en plus digitalisés, la question semble légitime.

Pour répondre aux demandes des internautes : immédiateté de l’information, multi-canal, personnalisation, de plus en plus d’entreprises mettent en place des outils CRM pour collecter et exploiter les données de leurs prospects ou clients afin de fournir une relation personnalisée, évolutive et moderne.

Malheureusement, le non-respect de la vie privée des utilisateurs par certaines sociétés peu scrupuleuses, le vol de données personnelles et la revente par des pirates malveillants, ont poussé les gouvernements à réagir : le RGPD était lancé à l’échelle européenne.


1. Le RGPD, qu’est ce que c’est ?

Le Règlement Général sur la Protection des Données est une loi supranationale (loi qui dépasse les limites des états et n’est pas soumise aux votes des chefs d’Etats), adoptée en avril 2016 et qui entrera donc en vigueur le 25 mai 2018. L’ objectif à long terme de ce règlement est d’homogénéiser les différentes lois des pays signataires, relatives à la protection des données à caractère personnel.

C’est donc une initiative du Parlement Européen visant à renforcer les droits individuels en regard de la collecte et de l’exploitation des données personnelles.

 

2. Qui est concerné ?

Les organismes publics et entreprises privées, la grande distribution, les opérateurs téléphoniques, les banques, les mutuelles, les établissements de santé, les startups, les PME/TPE … sont concernées par cette nouvelle réglementation.

D'une manière générale, le RGPD s’applique à partir du moment où vous manipulez des données à caractère personnel appartenant à des citoyens de l’Union Européenne, à des fins professionnelles, ou que le traitement soit lié à un service ou produit à destination de personnes situées en Europe.

Une entreprise Américaine par exemple, devra appliquer le RGPD si elle collecte, exploite, analyse des DCP (Données à Caractère Personnel) de citoyens de l’UE.

rgpd-reunion-serveurs
3. Qu’entend-on par données à caractère personnel ?

Les données à caractère personnel (DCP) désignent toute information ou numéro permettant d’identifier directement ou indirectement une personne physique :

  • nom
  • prénom
  • adresse
  • numéro de carte bancaire ou de sécurité sociale
  • habitudes de consommation
  • composition familiale
  • profession
  • adresse IP
  • plaque d’immatriculation
  • données de santé
  • orientation religieuse, …

4. Qui doit s’occuper de la mise en place de ces actions ?

Le RGPD concerne tous les professionnels spécialement du juridique, du marketing et les Directions des Systèmes d’Information (DSI). La réglementation impose une démarche de mise en conformité, qui devra être véritablement prise au sérieux par ces deux parties et qui sera mise en place par un DPO (Délégué à la Protection des Données ou Data Protection Officer en anglais). Les sanctions sont importantes si l’entreprise ne se met pas en conformité.


5. Qu’est-ce qu’un DPO et quelles sont ces missions ?


Un DPO devra être désigné dans l’entreprise et sera chargé de la conformité au RGPD.

Le Délégué à la Protection des Données devra créer et mettre à jour /maintenir le registre de tous les traitements appliqués sur les DCP :

  • quelles sont les données collectées ?
  • pour quelles finalités ces données sont-elles collectées ?
  • quelles actions sont faites sur les données
  • pendant combien de temps ces DCP seront-elles utilisées.
  • par qui ces données sont-elles traitées ?
  • quelles applications utilisent ces données
  • quels flux utilisent quelles données ?
A tout moment pourront lui être demandées :
  • des extractions de DCP au sein de la base de données,
  • des suppressions de contacts devront être possibles et surtout "historisées".

En cas de contrôle, le DPO doit pouvoir mettre à disposition une cartographie complète de toutes les DCP, ainsi que des traitements effectués sur celles-ci.

La tenue de ce registre n’est pas obligatoire pour toutes les sociétés de moins de 250 salariés, néanmoins, l’exception peut être levée en regard du degré de sensibilité des données et du type de traitement opéré (une société de 85 salariés traitant des données relatives à la santé, à l’armement ou tout sujet sensible devra tenir un registre), ou si le traitement est habituel (traitement de données entourant la gestion de la clientèle, ressources humaines, fournisseurs). 

rgpd-reunion-cartographie

 

Il a également pour mission de sensibiliser et former les différents acteurs concernés.

Le DPO doit identifier les parties prenantes (Marketing, Direction des Systèmes d’Information, Ressources Humaines ... ) et leur expliquer le règlement. Autant chef de projet que facilitateur, il est le référent des autres métiers.

Il a la lourde tâche de faciliter la compréhension de ce règlement auprès d’acteurs qui n’ont pas les mêmes missions, et ne parlent pas forcément le même langage. Le but est bien entendu de faire travailler toutes ces équipes dans la même direction, d’accompagner la conduite du changement.

 

Vient enfin l’audit des données

Une fois cette phase de formation et de sensibilisation effectuées, le DPO doit conduire un audit (état des lieux) des données à caractère personnel existantes, des bonnes et mauvaises pratiques afin de pouvoir prioriser les actions à mettre en place.

Ne pas passer assez de temps sur cette étape pourrait être fortement préjudiciable en cas d’oubli de points importants. Ne la négligez pas !

 

Qui doit enfiler la casquette du DPO ?

Bien que responsable chargé de la conformité de la société vis à vis du règlement, il n’a pas à proprement parler, le pouvoir de faire appliquer le règlement en prenant cette responsabilité.

Ses missions nécessitant la mise en place de moyens (budgets, temps homme, outils, logiciels), le DPO doit être rattaché à minima à un poste de direction, voire à la direction générale elle-même : si le DPO n’a pas de pouvoir dans les comités ou autres conseils d’administration, il sera très complexe de mettre en place la mise en conformité d’un Règlement qui pourrait très lourdement sanctionner les sociétés qui ne “joueraient pas le jeu”.

 

6. Le consentement explicite

Le recueil du consentement explicite des utilisateurs est un des principaux changement visibles par l’internaute. Tout individu qui reçoit des emails et autres types de communication, de contenus doit avoir exprimé au préalable son accord de manière explicite. Bien que dans l’esprit des lois déjà en vigueurs, le non respect de consentement sera aujourd’hui bien plus pénalisé.

rgpd-reunion-consentement-case-a-cocher

 

Enfin, outre l’amélioration la relation client/usager en valorisant une démarche d’éthique professionnelle, le RGPD constitue pour beaucoup un levier permettant la mise en place de politique de sécurité ou la digitalisation des pratiques notamment RH, permettant de simplifier le parcours des collaborateurs au sein des entreprises.


Pour beaucoup considérée comme une contrainte, l’arrivée du RGPD peut être vécue comme une opportunité. A compter du 25 mai 2018, vous devrez vous aussi vous mettre en conformité. Ne prenez-pas cet aspect à la légère. Les sanctions peuvent être importantes, jusqu’à 4% du CA ! Pour recevoir nos prochains articles sur ce sujet, n'hésitez pas à vous abonner à notre blog. 

 Je m'abonne au blog pour recevoir les futurs articles

 

Pierre-Charles Juhel | Expert invité

Diplômé de l’Université de Saint-Quentin-en-Yvelines (Master 2 Professionnel Droit des NTIC, Mémoire sur l’administration électronique et les données à caractère personnel) et et de l’Université de Paris I Panthéon-Sorbonne (Master 2 Professionnel Droit de l’Administration Electronique, Mémoire sur le CIL), je suis juriste spécialisé en droit des nouvelles technologies et Juriste Vie Privée. J'interviens notamment dans le secteur public (collectivités) sur des problématiques relatives à la propriété intellectuelle, aux contrats informatiques et à la vie privée. Aujourd'hui président de My Data Solution à La Réunion, j'ai assumé pendant 8 ans les missions de responsable juridique, responsable de la conformité CNIL et Correspondant "Informatique et Libertés" d'ACTECIL, société spécialisé dans le conseil et l'audit en protection des données à caractère personnel. Je suis également membre de l'association Club DPO qui réunit les CIL actuels, futurs DPO, et responsable de la conformité CNIL de l'île de la Réunion.