Le RGPD, un bouleversement pour l’utilisation de données personnelles

Le RGPD, une nouvelle réglementation concernant l’utilisation et le stockage des données personnelles des citoyens de l’Union Européenne, entrera en vigueur en mai prochain. Com’On vous explique les principaux points de cette réglementation et comment vous mettre en conformité !

Qu’est-ce que le RGPD ?

Le RGPD, alias le Règlement Général sur la Protection des Données, est une nouvelle réglementation votée par l’Union Européenne, qui sera active à partir du 25 mai prochain. Il est destiné à remplacer la Directive sur la Protection des Données précédente, datant de 1995, qui n’était plus adaptée à l’évolution constante du secteur numérique. Le RGPD concerne toutes les entreprises de l’Union Européenne récoltant, utilisant ou stockant les données personnelles de citoyens européens, et ce quelle que soit leur taille ou leur secteur d’activités.

Quelles sont ses principales mesures ?

Le RGPD accorde des droits beaucoup plus étendus aux citoyens de l’Union Européenne en ce qui concerne la gestion, le suivi et la protection de leurs données personnelles. Il inclut notamment quelques prescriptions comme :

– Le droit à la portabilité, c’est-à-dire qu’il sera possible de demander que ses données soient intégralement transférées chez une autre entreprise en cas de passage à la concurrence (comme c’est déjà le cas actuellement pour la téléphonie) ;

– Le droit à l’oubli, c’est-à-dire qu’une entreprise supprime l’intégralité des données qu’elle possède concernant une personne si cette personne en fait la demande ;

– Le droit à l’accès et à la modification, c’est-à-dire qu’une personne peut demander à consulter les informations qu’une entreprise détient sur elle, et y apporter des modifications si elle le souhaite. Elle pourra également interdire l’utilisation de certaines données sensibles.

RGPD

Bon à savoir :

Les nouvelles mesures du RGPD impliquent qu’il sera désormais interdit de faire de « l’opt-in » passif, c’est-à-dire obtenir le consentement d’une personne de manière détournée. Par exemple, il ne sera plus possible de pré-cocher une case « j’accepte de recevoir des e-mails » lors du remplissage d’un formulaire. L’internaute devra délibérément cocher cette case pour autoriser l’entreprise à lui envoyer des mails. De même, il sera impossible de recueillir l’adresse e-mail d’une personne pour lui envoyer une newsletter sans avoir eu son consentement explicite au préalable.

Les entreprises récoltant des données personnelles devront respecter un principe de transparence en tenant un registre de l’utilisation des données, qui servira à prouver la conformité de leur société au RGPD en cas de contrôle. Elles ont également l’obligation d’informer la CNIL ainsi que leurs clients dans un délai de 72h en cas de piratage de leurs systèmes susceptible d’entraîner une fuite des données personnelles.

Respecter tous les principes du RGPD s’annonce complexe. C’est pourquoi le texte de loi prévoit la création d’un nouveau poste de DPO (Data Protection Officer), qui sera le responsable de l’utilisation des données et de l’application de la réglementation au sein de son entreprise. La création de ce poste sera obligatoire pour les entreprises de plus de 250 salariés, les organismes du secteur public ou encore pour les sociétés traitant des données catégorisées comme sensibles, comme les données liées à la santé par exemple.

Attention !

Si vous respectez tous les critères du RGPD mais que ce n’est pas le cas d’un de vos fournisseurs ou sous-traitants, votre entreprise sera, par ricochet, elle aussi considérée comme non conforme ! Veillez bien à ce que tous vos partenaires respectent les dispositions de cette nouvelle réglementation au mois de mai prochain !

Quels sont les risques en cas de non-respect du RGPD ?

La CNIL et les autres organismes de contrôle européens se veulent beaucoup plus sévères que pour la législation précédente. En cas de constatation de non-respect du RGPD, l’entreprise en question risque des pénalités financières pouvant aller jusqu’à 4% du chiffre d’affaires annuel ou 20 millions d’euros : le montant le plus élevé sera retenu.

Membres de la Com’unauté, attention !

En tant que membre de la Com’unauté Com’On, vous êtes propriétaires d’un compte G Suite professionnel. Pour se mettre en accord avec les mesures du RGPD, Google a indiqué une série d’étapes à effectuer pour tous les propriétaires d’un compte Google professionnel : vous devez indiquer votre acceptation des changements induits par la nouvelle réglementation. Pour cela, la marche à suivre est très simple !

– Connectez-vous à votre compte G Suite professionnel.

– Dans la liste des applications (les neuf carrés gris situés en haut à droite de la page), choisissez l’application « Admin ».

– Cliquez sur « Profil de l’entreprise », puis sur « Profil ».

– Il vous faut cliquer sur « Lire et accepter » pour toutes les réglementations figurant dans la section « Conditions d’utilisation supplémentaires relatives à la sécurité et à la confidentialité », à l’exception de l’avenant relatif à la loi américaine HIPAA, qui ne concerne que les établissements de santé.

– Ensuite, cliquez sur la section « Mentions légales et conformité », et complétez la partie intitulée « Informations relatives à l’agent chargé de la protection des données ». Vous devez indiquer les coordonnées de la personne en charge des données au sein de votre entreprise (le plus souvent, il s’agit de son dirigeant).

Cette procédure ne vous prendra que quelques minutes, et vous permettra de remplir une partie des exigences du nouveau RGPD !

RGPD

Avec Com’On, Appuie sur On !