RGPD : êtes-vous prêt ? Comprendre et se préparer avant le 25 mai 2018

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) entrera en vigueur. Cette réglementation entraîne la disparition de certaines obligations de déclaration à la CNIL et donne aux entreprises (quels que soient leur taille et leur statut juridique) des obligations de transparence dans la gestion et la protection des données personnelles. En cas d’infraction, l’entreprise peut être condamnée à payer 4 % de chiffre d’affaires. L’objectif de cette réglementation est de responsabiliser les entreprises dans la gestion des données personnelles et de renforcer les institutions de régulation.

Grâce au développement d’internet et des nouveaux moyens de communication, les données sur les consommateurs sont nombreuses et accessibles. Elles sont une source de richesse et de croissance pour les entreprises. La confiance des citoyens dans l’utilisation respectueuse de ses données personnelles par les entreprises est alors essentielle. Une entreprise réputée éthique renforcera son attractivité.

L’Union européenne a fait entrer en vigueur la RGPD le 24 mai 2016. Les entreprises françaises ont jusqu’au 25 mai 2018 pour être conforme.

Cette réglementation s’applique non seulement pour les entreprises présentes sur le territoire de l’Union européenne, mais aussi pour toute celle qui traite des données de citoyens membres de l’UE.

Cette réglementation demande une mise en conformité qui implique des investissements humains et budgétaires conséquents.

Selon une étude Umanis, 1/3 des entreprises interrogées ne seront pas prêtes le 25 mai 2018 (source).

A partir du 25 mai 2018, les associations actives dans le domaine de la protection des données personnelles et les citoyens auront la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.

Qui est concerné ?

Toutes les entreprises qui ont une base de données à caractère personnel de citoyens de l’UE. Elles ont l’obligation de prévenir de manière claire, précise et intelligible l’utilisation de ces données et surtout elles doivent avoir le consentement des personnes concernées.

Toute personne doit pouvoir aisément récupérer ses données personnelles, et les partager, si elle le souhaite, à un tiers. Il s’agit principalement de redonner aux personnes la maîtrise de leurs données personnelles.

Une disposition spécifique existe pour les moins de 16 ans. Le consentement doit être recueilli auprès d’une personne possédant l’autorité parentale. Une fois adulte, le consentement donné doit pouvoir être retiré et les données effacées.

Les entreprises devront mettre en place des moyens de sécuriser les données tout au long du processus de traitement. Elles doivent être capables de prouver leur conformité en fournissant un registre des traitements des données personnelles et des actions réalisées pour les protéger.

La CNIL sera l’autorité de référence en la matière et aura plusieurs moyens de sanction en cas d’infraction ;

  • Prononcer un avertissement

  • Mettre l’entreprise en demeure

  • Limiter temporairement ou définitivement un traitement

  • Suspendre les flux de données

  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes

  • Ordonner la rectification, la limitation ou l’effacement des données

Les amendes administratives peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Ces sanctions ne sont pas à prendre à la légère. Début janvier, la CNIL a sanctionné Darty pour avoir manqué à son obligation de sécuriser les données personnelles de ses clients.

 

Comment se mettre en conformité ?

La CNIL a mis en ligne des documents expliquant la procédure :

  1. Désigner un délégué à la protection des données (DPO) chargé de la mise en conformité et du suivi des traitements des données

  2. Cartographier les risques pour mesurer l’impact de la réglementation

  1. Identifier les actions à mener pour être en conformité

  1. Mener une analyse d’impact sur la protection des données

  1. Mettre en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment

  1. Constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Vous pouvez consulter les explications et les recommandations de la CNIL sur son site (ici).

Cette nouvelle réglementation est un enjeu majeur pour les entreprises car elle implique la création de nouvelles tâches et la création de nouveaux postes (DPO). C’est également un tournant pour les entreprises qui seront capables de mieux traiter leurs données et en tirer de nouvelles ressources. Le 25 mai 2018 est une date butoir pour se mettre en conformité et une opportunité pour les entreprises de mettre en place une approche centrée sur le client.