02 53 97 26 00 contact@addiscom.com

Quels impacts aura le RGPD sur votre entreprise ?

Depuis la publication du Règlement Général sur la Protection des Données (RGPD), les entreprises ont-elles changé leurs comportements en critère de données à caractère personnel. Le principal objectif du règlement est de renforcer la protection des données des citoyens au sein de l’Union Européenne.

L’application de ce dernier devra s’effectuer de manière stricto sensu le 25 mai 2018 et permettra une unification pour les Etats membres qui jusque-là étaient disparates concernant la protection des données. Il est naturel alors de s’interroger sur l’impact et les changements que va engendrer le règlement à sa promulgation.

Les changements apportés par la RGPD

Une application extra-communautaire

Par sa nature, le règlement aura une application pour toutes les entreprises présentes sur le territoire européen. Son application sera aussi valable pour les sociétés établies en dehors de l’union et traitant des données personnelles venant d’une récolte faite par les entreprises. Ces données seront principalement focalisées sur les individus mais pas que puisqu’il y aura une surveillance des données des organisations intra-communautaires.

Le principe de consentement 

C’est l’un des principaux changements qu’apporte le RGPD concerne le principe de consentement. A compter de la promulgation du décret, les citoyens auront un contrôle des données qu’ils veulent transférer ou non à l’entreprise avec qui ils communiquent. Ce contrôle aura des incidences qui seront plus détaillées par la suite.

Le droit à l’effacement (ou « droit à l’oubli »)

L’article 17 du règlement, permet aux personnes d’effectuer une demande de retrait de certaines informations qui pourraient nuire à leurs réputations notamment.

Il y a alors un retrait de l’information pure et simple (droit à l’oubli) mais une seconde possibilité est possible avec une demande de déférencement. Dans ce cas-là, il y aura une désindexation des informations personnelles sur les moteurs de recherche.

Pour faire ces demandes, il faudra bien sûr se justifier de son identité et seront applicable en raison de 6 motifs :

  • La conservation des données n’est plus une nécessites à la vue de sa finalité
  • Le consentement de l’individu n’est plus actuel
  • La personne concernée s’oppose au traitement de ses données
  • Les données ont été utilisées de manière illégale ou illégitime
  • Les données doivent être supprimées pour un respect de directives et obligations légales engendrées par l’Union ou l’Etat membre.
  • La collecte de données a été faite dans le cadre d’offres de service de la société de l’information visée pour des individus mineurs ou de moins de 16 ans

RGPD

La portabilité des données personnelles 

La récolte des données existe déjà mais l’un des changements portera sur la visibilité de chacun concernant ces propres données. Chacun aura désormais la possibilité de recevoir les données personnelles les concernant et connaître leurs finalités. Elles devront être transmises par l’entreprise en respectant un certain délai tout en intégrant (cela dépend des structures) un responsable du traitement des données pour le transférer vers une autre entité.

RGPD

Quels changements concrets pour l’entreprise

La promulgation du RGPD aura des incidences sur le comportement des entreprises mais aussi sur sa structure tout en n’oubliant pas ce droit de regard des consommateurs. Voici une présentation de ces différents changements, qui ne l’oublions pas, seront effectif le 25 mai 2018.

La nomination obligatoire d’un délégué à la protection des données (Data Protection Officer en anglais) 

Cette partie du règlement ne concerna qu’une partie des entreprises ou organismes public français. En effet, il sera obligatoire pour les sociétés possédant un effectif suffisant.

Les entreprises auront l’obligation d’intégrer dans leurs équipes un délégué à la protection des données. Ils auront pour mission d’assurer une bonne gestion des données à caractère personnel notamment les listes d’opposition.

Ce contrôle sera bien sûr pour un plus grand respect du règlement au sein de l’entreprise. Cela permettra d’aborder certaines questions avec les dirigeants quant à la gestion des données récupérées par l’entreprise mais aussi à son utilisation pour ne pas dévier des indications apportées.

Pour les entreprises ne possédant pas un effectif aussi important cette gestion devra être effectuée par une entreprise proposant ces services

A l’heure actuelle aucune formation ne permet d’obtenir ces compétences à part entière puisque le sujet est encore récent et mêle plusieurs domaines. Le délégué à la protection des données doit avoir des compétences transversales notamment juridique et en gestion de base de données. Ce type de profil étant presque une arlésienne, il faudra attendre quelque temps avant de voir arrivé ce type de profil.

En attendant, les entreprises devront former leurs salariés à ces compétences spécifiques que ce soit sur IT pour les juristes ou à l’inverse des formations juridiques pour les spécialistes de gestion de données.

Une formation des collaborateurs

La seule nomination d’un délégué à la protection des données ne suffira pas puisque cette protection doit devenir une norme au sein des entreprises. Le respect du droit à la vie privé est une notion connue de chacun. Il sera donc nécessaire d’informer chaque salarié de l’entreprise du fonctionnement du règlement.

Des formations complémentaires pour être exigé pour les employés ayant un poste stratégique sur la récupération, l’analyse ou encore l’exportation des données pour être en règle avec le RGPD.

Tenir un registre des traitements des données

L’un des changements le plus radical du RGPD est l’instauration d’un registre. Ce registre sera obligatoire pour les entreprises de plus de 250 salariésIl aura pour but de pouvoir établir l’origine des données, si un accord préalable à été accordé par l’individu mais aussi la finalité de cette dernière.

La CNIL pourra à tout moment consulter ce dernier pour vérifier si il respect bien les objectifs fixés mais aussi une vérification des actions du responsable des données.

Un consentement explicite et la preuve

Pour éviter toutes sanctions, les sociétés qui récolteront des données sur leurs prospects et clients devront obtenir un consentement explicite. Actuellement la récolte se fait parfois de manière implicite et les traces d’un accord ne sont pas visibles. Désormais, il faudra que la récolte soit clairement notifiée aux citoyens et conserver ces preuves pour éviter toutes sanctions. Pour le cas particulier des mineurs, le consentement se fera par le représentant légal de ce dernier. Concernant l’opt-in BtoB, le consentement n’est pas obligatoire. Toutefois, il est fortement conseiller pour les différents partis d’appliquer ce principe d’opt-in.

Quesaco des entreprises spécialisées en location et ventes de données

Pour les entreprises spécialisées dans la vente ou la location de données, le règlement a une politique claire puisqu’auparavant la responsabilité n’incombait que l’acheteur ou le louer. Désormais, il y aura une corresponsabilité pour l’entreprise traitant les données. Le règlement met fin à l’immunité des sous-traitants en introduisant ce principe coresponsabilité.

Se préparer à la possibilité d’une fuite de données

Les données personnelles étant une source à risque par l’intérêt que portent les entreprises, des fuites peuvent avoir lieu. Les entreprises devront améliorer la protection de leurs données et communiquer la fuite à la CNIL sous 72 heures. La diffusion d’une fuite, ne doit pas seulement affecter la CNIL mais aussi les individus dont les informations ont circulé sans autorisation mais doit tout de même avoir un caractère important voir grave pour être notifié. Il en est de même en cas de destruction, de perte ou encore d’altération.

Un autre cas particulier concerne le transfert de données vers des pays hors Union Européenne. Il faudra alors une vérification du respect des normes de sécurité égales à celles du règlement. Si ce n’est pas le cas, il faudra alors avoir une clause garantissant la sécurité des données dans le contrat. De plus, les personnes sujettes au transfert devront être prévenues au préalable si les données sont sensibles.

RGPD

Quelles sanctions s’il y a un non-respect du règlement

La protection des données personnelles existe depuis quelques années avec la directive de 1995 l’arrivé du règlement va poser de réelles questions sur la gestion des données et surtout rendre plus sérieux. C’est avec des sanctions plus importantes que le règlement compte sur la bonne conduite des entreprises.

En effet, les montants pourront atteindre des chiffres jamais vue auparavant : 20 Millions d’euros ou 4% du chiffre d’affaires annuel mondial. Même si dans les faits, l’application de telles sanctions va s’avouer rare il n’’en reste pas moins un moyen de pression pour le respect de sa ligne de conduite.

Share This