Le 25 mai prochain, le Règlement Général de Protection des Données (RGPD) entrera en vigueur au sein de l’Union européenne. Il s’appliquera à tous les organismes – tant publics que privés – traitant directement et indirectement des données personnelles de ressortissants des pays-membres, qui auront 2 ans pour s’y conformer. Point sur les objectifs et obligations instaurés par le RGPD.
Les objectifs du RGPD
Ce Règlement vise à créer un cadre renforcé et unifié de la protection des données tenant compte des évolutions technologiques et défis qu’elles soulèvent. La philosophie du RGPD est de replacer l’individu au cœur du dispositif légal et conforter ses droits au sein du futur marché unique du numérique, qui soutient entre autre le développement et le renforcement de la cyber-sécurité et la libre circulation des données.
Dès lors, il garantit trois objectifs :
– Renforcer les droits des personnes, via la création d’un droit à la portabilité des données personnelles, la consolidation des obligations d’information et d’obtention du consentement, du droit d’accès, de rectification, d’opposition, du droit à l’oubli…
– Responsabiliser tous les acteurs traitant des données (acteurs directs et sous-traitants)
– Permettre une meilleure coopération entre les autorités de protection des données des Etats-membres, notamment en cas de traitements de données seront transnationaux
Les obligations des entreprises
Le RGPD consacre deux grands principes qui doivent être impérativement être intégrés dans les process et organisations des entreprises publiques et privées, quel que soit leur secteur d’activité :
« L’accountability » / responsabilité : le RGPD impacte non seulement le cycle total de vie de la donnée, mais également les devoirs et responsabilités de l’ensemble de la chaîne d’acteurs. Ainsi, les entreprises ont « l’obligation de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ».
Le « Privacy by Design » / protection de la vie privée dès la conception, par défaut : chaque acteur doit désormais s’assurer de la conformité des traitements qu’il envisage de mettre en œuvre, dès le moment de leur conception.
De ces principes découlent plusieurs actions à mener pour être en conformité et pouvoir la justifier :
– Nommer un délégué à la protection des données (DPO), « clé de voute de la conformité des données personnelles ». Il est conseil pour la mise en œuvre d’une politique générale de gouvernance de la donnée protectrice de la vie privée, est associé à chaque stade de conception d’un nouveau service et en charge de la conformité de tous les traitements de données. Interne ou externe, le DPO devra être opérationnel dès l’entrée en vigueur du RGPD.
– Analyser l’impact sur la protection des données (Privacy Impact Assessment) : pour aider les entreprises à s’adapter, la CNIL met à leur disposition un logiciel libre de PIA
– Créer et tenir un registre des traitements des données mis en œuvre
– Prouver le respect du Règlement via la certification des traitements
– Adhérer à des codes de conduites
– Notifier à l’autorité de contrôle les failles de sécurité et violations de données et, si le risque est élevé pour les droits et libertés des personnes physiques, contacter les personnes concernées
Tout cela implique de mettre œuvre des mesures organisationnelles et techniques spécifiques, tels la pseudonymisation, le chiffrement, ou l’application du principe de minimisation des données (seules les données nécessaires à la finalité doivent être collectées), etc. De plus, le RGPD interdit la transmission des données personnelles des citoyens européens hors Union européenne vers les pays où la protection des données est jugée insuffisante par la Commission.
Non seulement les directions marketing et de gestion de la relation client sont expressément impactées par le RGPD, mais les acteurs de la publicité digitale le sont tout autant car, d’une part, ils devront obtenir le consentement des utilisateurs (et ne pas le considérer comme éternel) et prendre en compte les refus de ciblage et, d’autre part, contrôler la conformité des process de protection des données de leurs prestataires, notamment les grandes plateformes étrangères.
Des risques plus importants
Alors que les pouvoirs de sanction de la CNIL sont relativement limités (avertissement, amende de 150k€ max., 300k€ en cas de récidive), la non-conformité ou le non-respect des obligations de traitement et de sécurisation des données personnelles seront bien plus fortement pénalisés : les amendes pourront atteindre 20M€, ou 4% du chiffre d’affaires annuel mondial. De plus, ces règles s’appliquent à toutes les entreprises collectant des données sur des citoyens européens, qu’elles soient ou non localisées sur le territoire de l’Union européenne.