Il est important de comprendre le RGPD si votre entreprise collecte des données personnelles de citoyens de l’Union Européenne. Le RGPD (Règlement général pour la protection des données), entré en vigueur le 25 mai 2018, vous concerne directement. Cependant, encore aujourd’hui, les enjeux et l’environnement législatif du RGPD sont parfois mal compris. Je vous éclaire en 5 points pour vous aider à mieux appréhender ce règlement qui impacte de nombreuses structures… et sans doute la vôtre !
Bien comprendre le RGPD
Dans la continuité de la Loi française Informatique et Libertés de 1978, le RGPD pose un cadre juridique à la collecte et au traitement des données à caractère personnel des citoyens européens. Objectif : protéger au maximum leur vie privée. Concrètement, il implique de recueillir le consentement des utilisateurs avant de collecter leurs données. Il implique également de les informer quant au traitement qui en sera fait. En d’autres termes, toutes les entités qui traitent des données à caractère personnel doivent se mettre en conformité avec les obligations imposées par le RGPD.
Y déroger est illégal. Il est crucial, si ce n’est déjà fait, d’intégrer les principes de ce règlement à vos pratiques et processus internes.
Qui est concerné par le RGPD ?
Le RGPD s’applique à toute organisation, publique et privée, traitant des données à caractère personnel des citoyens européens, même si celle-ci est basée hors de l’Union européenne. Tous les types d’organisations sont concernés (entreprise, ministère, administration, collectivité, association) et ce, quelle que soit leur taille. À noter que le RGPD concerne la collecte et le traitement des données informatiques. On ne le sait pas toujours, des données papier également !
Comprendre le rgpd – Quelles sont les obligations des entreprises ?
Le RGPD advient avec une série d’obligations qui impactent les processus des entreprises :
- Toute entreprise doit ainsi être en mesure de justifier de la mise en place de bonnes pratiques. Collecte, stockage, utilisation, partage ou destruction des données. Elle doit également tenir à jour un registre des traitements.
- Le RGPD impose le recueil du consentement des utilisateurs et généralise l’accès à leurs données personnelles.
- La nomination d’un DPO (Data Protection Officer), qui peut-être un professionnel externe, est obligatoire pour les organismes publics, ainsi que pour ceux qui manipulent des données à grande échelle ou des données sensibles (de type médical ou juridique par exemple). Pour les autres entités, l’obligation n’existe pas. Cependant, avoir un DPO vous aidera à piloter efficacement la gestion et le traitement des données collectées.
À noter que toutes ces obligations sont étendues aux sous-traitants.
Quels sont les enjeux du RGPD ?
En simplifiant et en généralisant le cadre réglementaire pour les entreprises, le RGPD vise à redonner aux citoyens le contrôle sur leurs données personnelles. De fait, il instaure ou renforce certains droits pour les particuliers :
- Droit d’accès : toute personne qui en fait la demande doit pouvoir accéder à ses données.
- Droit de rectification : chacun peut faire rectifier une donnée le concernant.
- Droit à l’oubli : ce droit entérine la possibilité de retirer son contentement à la collecte et au traitement de ses données.
- Droit à la limitation du traitement : il s’agit du droit à geler ses données.
- Droit à la portabilité des données : chacun peut recevoir les données fournies au responsable du traitement, et transmettre ses données à un autre responsable du traitement.
- Droit d’opposition : il s’agit ici du droit à s’opposer à ce que ses données soient utilisées par une organisation quelconque.
- Transparence des informations et des communications : chacun doit être informé de l’utilisation qui est faite de ses données personnelles.
Afin de faire respecter l’ensemble de ces droits, les utilisateurs peuvent saisir la CNIL s’ils constatent un manquement.
Quels sont les risques à ne pas se conformer au RGPD ?
Les entreprises qui pensent se passer de la mise en conformité avec le RGPD s’exposent à des sanctions. Elles sont graduelles selon les manquements identifiés. Si elles constituent souvent des sanctions d’ultime recours, avant lesquelles adviennent plusieurs rappels de mise en conformité, elles peuvent être néanmoins très lourdes. L’amende peut aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires monde !
Sans compter la perte de confiance des clients / adhérents, la chute de l’image de marque et parfois la perte d’exploitation et les rançons à payer face à des cyberattaques.
Vous voilà à présent mieux armé pour appréhender l’environnement réglementaire du RGPD, ses enjeux et ses conséquences sur la vie de votre entreprise.
Si vous avez un doute quant à votre mise en conformité ou si des zones d’ombre subsistent, vous tourner vers un expert RGPD est encore le meilleur réflexe à adopter !
A propos de notre expert
Stéphann Fourrier
Expert DPO / Prospection
+ de 500 clients accompagnés | + 20 ans d’expérience | spécialiste RGPD | 100% des apprenants embauchés.