Tendances

Le RGPD qu’est-ce que ça change ?

Le RGPD qu’est-ce que ça change ?

Le règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018 prochain. Issu de la loi numérique en 2016, ce règlement a été élaboré pour renforcer la protection des données personnelles. Cette réglementation se concentre sur trois principaux objectifs : uniformisation, responsabilisation et renforcement des droits des personnes. Par conséquent, toutes les entreprises qui effectuent des traitements de données personnelles d’un résident de l’Union européenne doivent s’y conformer. Mais dans quels buts ? Quelles circonstances ? Et pour quelle entité ? Gros plan sur ce que le RGPD va changer.

Périmètres d’application du RGPD

Le règlement européen sur la protection des données régit tous les traitements de données à caractère personnel d’un citoyen européen. Il peut s’agir d’une information concernant une personne physique identifiée ou non, directement ou indirectement. Cette identification peut se faire notamment à partir d’un ou plusieurs éléments qui lui sont propres. Mais, c’est également possible à travers les identifiants Internet (adresse IP, cookies) ou d’un numéro d’identification. L’unique exception est la manipulation d’un répertoire téléphonique personnel.

Les règles du RGPD s’appliqueront à toutes les entreprises publiques ou privées des États membres de l’Union européenne. En principe, sont concernées par cette réglementation, les entreprises qui :

  • proposent des biens et services sur le marché européen,
  • collectent et traitent des données à caractère personnel d’un citoyen européen.

Une entreprise implantée dans un pays non membre de l’UE peut être concernée par RGPD. Et ce, dès lors qu’elle collecte, héberge et manipule des données personnelles de résidents européens.

Quelles obligations pour les entreprises ?

Les autorités nationales de contrôle européennes seront en mesure de sanctionner toute entreprise ou organisation ne respectant pas le RGPD. Pour la France, la CNIL est en charge des contrôles. À noter que la sanction peut être fixée à 4 % du chiffre d’affaires mondial d’une entreprise. Pour éviter toute mauvaise surprise, il est primordial de bien comprendre les exigences imposées par le règlement. Pourtant, l’évidence est que beaucoup d’entreprises ne savent pas encore réellement à quoi elles devront se conformer. Ci-après les points les plus importants des 200 pages du GDPR, qui vont assurément induire des changements majeurs :

  • La responsabilité (accountability)

Le GDPR vise principalement à responsabiliser les entreprises dans le traitement de toutes les données à caractère personnel (DCP). Dans ce contexte,  chaque organisation devra :

  • documenter toutes les mesures et procédures en termes de sécurité des DCP,
  • renforcer ses mesures de sécurité,
  • mettre en avant le principe de « Privacy By Design » (démarches permettant de protéger les droits des personnes),
  • encadrer ses sous-traitants, car, en cas de faille de ses derniers, le responsable des traitements (l’entreprise) demeure responsable,
  • notifier la personne concernée en cas de faille de sécurité.
  • La nomination d’un DPO (Data Protection Officer)

Pour les entreprises de plus de 250 salariés, il devient obligatoire de nommer un délégué à la protection des données. Aussi appelé « data privacy officer », ce dernier se chargera de :

  • superviser la mise en application et le suivi des procédures de mise en conformité au GDPR,
  • réceptionner toutes les demandes d’application des droits des personnes (droit d’accès, droit à l’oubli, demande de modification…),
  • informer l’ensemble du personnel de son entreprise sur leurs obligations vis-à-vis des DCP,
  • coopérer avec l’autorité de contrôle,
  • participer à la mise en place d’analyses d’impacts (données sensibles, profiling…)
  • L’accessibilité des données

Avec le RGPD, les entreprises devront permettre à toutes les personnes concernées d’accéder à leurs données personnelles. Ces informations devront être fournies dans un format couramment utilisé, bien structuré et facilement compréhensible.

 

Quels droits pour les citoyens européens ?                       

La loi numérique, promulguée le 7 octobre 2016 répond pleinement à une ambition de liberté, d’égalité et de fraternité. Dans ce cadre, les droits des citoyens sont clairement précis :

  • Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée.

Tous ceux qui traitent des bases de données doivent prendre les mesures adéquates pour que les informations soient facilement accessibles. Dès lors qu’une personne transmet des informations, elle devra pouvoir y accéder aisément.

 

  • Droit d’accès de la personne concernée

La personne concernée a le droit de demander à l’entreprise la confirmation que ses données personnelles sont traitées ou non. Elle peut aussi obtenir les renseignements sur les finalités du traitement. Peuvent aussi être demandées les destinataires qui auront accès à ses informations, la durée de conservation des données…

 

  • Droit de rectification

Ce droit complète le droit d’accès. En cas d’informations erronées, la personne concernée peut demander la rectification de ces dernières. Ceci permettra d’empêcher toute diffusion de fausses informations.

 

  • Droit à l’oubli

Ce qui confère à un individu le droit de demander que des informations sur son passé ne soient pas divulguées.

 

  • Droit à la limitation du traitement, de collecte et de l’utilisation

Un citoyen européen peut donc obtenir d’une entreprise la limitation du traitement de ses données personnelles.

 

  • Droit de notification pour les actions réalisées avec les données personnelles

L’entreprise qui traite des données personnelles doit informer les personnes concernées en cas de violation de leurs données. Doivent être communiqués : un contact pour avoir plus d’informations, les éventuelles conséquences et les mesures prises par l’entreprise.

 

  • Droit à la portabilité des données

Ce droit offre à une personne la possibilité de récupérer et de réutiliser ses données personnelles pour son usage personnel.

 

  • Droit d’opposition

Ce droit peut s’exercer au moment de la collecte d’informations ou plus tard, en s’adressant au responsable du fichier. Une personne peut donc refuser de figurer dans un fichier.

 

  • Décision individuelle automatisée, y compris le profilage

Ce qui permet à une personne de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé.

 

En d’autres termes, le RGPD va instaurer un climat de confiance entre les entreprises et les individus. ABOnline solutions travaille activement à la mise en conformité de son logiciel Initiative CRM avec la nouvelle réglementation appliquée à partir du 25 mai 2018.

 

Article précédent Les bonnes résolutions pour gagner du temps au travail en 2018
Article suivant Le lean management, la solution pour renforcer la performance de mon équipe ?

Articles en relation

0 Commentaires

Aucun commentaire!

Soyez le premier à donner votre avis!

Donnez votre avis

Vos données seront confidentielles ! Votre email ne sera pas publié. De même que vos données ne seront pas partagées à une tierce personne. Les champs obligatoires sont suivis d'une *