Le nouveau Règlement Général sur la Protection des Données Personnelles renforce les pratiques des organismes en général et des acteurs du numérique en particulier, en matière de gestion des données personnelles, dans la continuité de la Loi Informatique et Libertés.

Ayant initié, dès la publication du texte, un programme de mise en conformité pour ses propres solutions et processus internes de gestion de données, Cegid met son expertise à la disposition de ses clients. Dans ce dossier, nous vous proposons de faire le point sur les enjeux du RGPD / GDPR, et de découvrir une synthèse de notre expertise en la matière.

Présentation et enjeux

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR) promulgué par la Commission Européenne est devenu le texte européen de référence en matière de protection des données personnelles. Ses dispositions sont applicables dans les 28 pays de l’Union Européenne par
l’ensemble des organismes dans le monde qui fournissent des biens à des citoyens européens, ainsi que celles qui enregistrent, hébergent et manipulent des données personnelles de résidents européens.

Ce règlement remplace la directive sur la protection des données personnelles adoptée en 1995, tout en s’inspirant largement de la Loi Informatique et Libertés qui existe depuis 1978 (et vient la renforcer).

La montée en puissance du numérique dans la vie quotidienne des individus facilite notamment l’exploitation de données personnelles par les organismes. Dans un objectif de profilage, de personnalisation et de monétisation, ces pratiques devaient être adaptées, à la fois pour améliorer la protection des données personnelles des individus et aider les organismes à mettre en place une gouvernance de données standardisée, et transparente, facilitant la mise en œuvre de programmes analytiques à forte valeur ajoutée (connaissance client et personnalisation, gestion des risques & fraude, etc.).

L’objectif du RGPD / GDPR est de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des organismes ». Ces dispositions modifient en profondeur la manière de collecter, gérer, stocker et protéger les données personnelles, dans le cas d’organismes n’ayant pas encore mis en place les dispositifs prônés par la directive de 1995.

Qu’est-ce qu’une donnée personnelle ?

Selon la loi Informatique et libertés : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

 

Consulter le glossaire

Le contenu du RGPD / GDPR

Le RGPD / GDPR instaure dans toute l’Europe un cadre réglementaire harmonisé directement applicable dans chacun de 28 Etats-Membres. Ce langage commun relatif à la protection des données personnelles s’applique également aux organismes évoluant hors de l’Union européenne qui exploitent les données concernant les activités des organisations et des résidents de l’UE.

Alors que la Loi Informatique & Libertés française reconnaissait déjà des droits aux individus (opposition au traitement sous réserve d’un motif légitime, droit d’accès aux données, droit de rectification/suppression), ce sont désormais sept droits (dont deux nouveaux) qui sont mis en avant ou renforcés par le RGPD / GDPR :

  • Transparence des informations et des communications
  • Droit d’accès à la donnée de la personne concernée
  • Droit de rectification
  • Droit à l’oubli (nouveau)
  • Droit à la limitation du traitement
  • Droit à la portabilité des données (nouveau)
  • Droit d’opposition

Dans le même esprit, le RGPD / GDPR formalise un certain nombre d’obligations pour les organismes :

  • Principe d’auto-responsabilité (Accountability) : l’organisme doit être en mesure de démontrer sa conformité.
  • Principe d’information : les individus doivent être informés de leurs droits et accepter explicitement la collecte et le traitement de leurs données personnelles.
  • Principe de licéité : les données personnelles ne peuvent être collectées et exploitées que pour un usage donné et légitime, correspondant aux missions du responsable de traitement.
  • Principe de minimisation : les entreprises ne peuvent conserver que les données strictement nécessaires à l’exercice de leurs activités. Il est complété par le principe de conservation limitée : la durée de conservation des données est limitée à l’exécution du contrat (ou aux obligations légales de conservation).
  • Privacy by Design & Privacy by default : la sécurité et la gouvernance des données doivent être prises en compte en amont de la conception de produits/services. En outre, la sécurité n’est plus optionnelle, mais activée par défaut : l’utilisateur ne doit plus cocher une case pour protéger ses données.
  • Nomination d’un DPO (Data Protection Officer) : dès lors que l’organisme exploite des données à caractère personnel à grande échelle. Ceci est par ailleurs obligatoire pour le secteur public.

Les enjeux pour les organismes, sont par conséquent, d’offrir plus de contrôle aux individus sur leurs données personnelles, en respectant l’intégralité de ces obligations sous peine de sanctions.

Mesure phase du nouveau règlement européen, la Commission Européenne a durci fortement les pénalités auxquelles s’exposent les organismes dont les pratiques ne sont pas en conformité. Celles-ci risquent une amende pouvant aller jusqu’à 2 % de leur chiffre d’affaires ou 10 M€ (le montant le plus important étant retenu) pour une organisation non conforme et 4% du CA ou 20 M€ pour le non-respect des droits des internautes, sans compter les dommages éventuels sur la réputation de l’entreprise.

Besoin de plus d’informations ?