Applicable à compter du 25 mai 2018 dans tous les états membres de l’Union Européenne, le RGPD ou Règlement Général pour la Protection des Données est une nouvelle réglementation européenne qui vise à renforcer la protection des données à caractère personnel.
Quels sont les objectifs du RGPD ?
La mise en place du RGPD vise en premier lieu à unifier la protection des données personnelles au sein de l’Union Européenne, à en faciliter la circulation et à renforcer les droits des personnes. Il cible également la responsabilisation des acteurs traitant des données (responsables de traitement et sous-traitants). Enfin, il a pour but de crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux.
Dans quel cas s’applique le RGPD ?
Lors de son entrée en vigueur en mai 2018, le RGPD remplacera les lois nationales sur la protection des données, et s’appliquera à toutes les entreprises du monde entier qui traitent avec des résidents de l’Union Européenne et mettent en œuvre un (ou plusieurs) traitement(s) de données à caractère personnel, qu’elles soient responsables du traitement ou qu’elles agissent comme sous-traitant.
Qu’est-ce qu’un traitement de données personnelles ?
Est considérée comme donnée personnelle toute information relative à une personne physique identifiée, ou susceptible de l’être, directement ou indirectement par référence à un numéro d’identification (ex. : n° de sécurité sociale) ou encore un ou plusieurs éléments qui lui sont propres (ex. : nom et prénom, date de naissance, empreinte digitale, ADN).
Aussi, un traitement de données personnelles est constitué dès lors que toute opération portant sur ces données, quel que soit le procédé, est réalisée (collecte, enregistrement, organisation, conservation, modification, combinaison, transmission). Ce traitement peut être informatisé ou non.
Exemples : une base de données, un tableau Excel, une installation de vidéosurveillance, un système de paiement par carte bancaire ou reconnaissance biométrique, une application pour smartphone, etc.
Les principes applicables
Avec ce nouveau règlement, l'Europe vise à apporter plus d'éthique dans le traitement des données à caractère personnel. Ainsi, ces informations devront être traitées licitement, justement et d’une manière transparente ; elles seront collectées uniquement pour des objectifs spécifiques, explicites et légitimes ; la nature de ces données devra être adéquate, pertinente et se limiter à ce qui est nécessaire au traitement ; ces données devront être précises et constamment mises à jour ; elles seront conservées sous une forme qui permette à la personne concernée d’être identifiée uniquement pour le temps nécessaire au traitement ; leur traitement assurera leur sécurité.
De nouvelles obligations et sanctions en vigueur
L’application du RGPD dans les entreprises suggère la mise en œuvre de mécanismes adéquats à l’atteinte de la bonne information des utilisateurs ainsi que de la collecte de leur consentement, l’exercice du droit à la portabilité et l’effacement des données à caractère personnel.
Ces exigences devront être prises en compte dès la conception des produits, services et systèmes exploitant des données à caractère personnel. Ces systèmes devront être sécurisés et l’autorité nationale de protection (CNIL en France) devra être notifiée dès que possible en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées.
Pour veiller à la mise en œuvre du RGPD, un délégué à la protection des données devra être incarné dans chaque entreprise. Il aura pour rôle d’évaluer l’impact de toutes les activités qui peuvent avoir des conséquences importantes en matière de protection de données personnelles ; de prévoir les mesures pour diminuer l’impact des dommages potentiels à la protection des données personnelles ; de consulter l’autorité de contrôle (CNIL) avant de mettre en œuvre les activités en question.
Les conséquences en cas de non application du nouveau règlement peuvent être importantes pour les entreprises puisque celles-ci risquent des sanctions financières allant jusqu'à 4 % de leur chiffre d'affaires mondial annuel ou 20 millions d'euros, le montant le plus élevé étant retenu. De plus, toute personne ayant subi un dommage matériel ou moral du fait d'une violation du règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. La médiatisation de tels manquements constituerait une atteinte à l’image des entreprises et il n’est pas certain que ces dernières soient prête à prendre ce risque, sans compter la perte de confiance des clients et donc d’opportunités qui en découlerait.