Le 25 mai prochain, le RGPD (pour Règlement Général sur la Protection des Données), entre en vigueur dans les états membres de l’Union Européenne. Il concerne toutes les entreprises amenées à collecter, stocker et traiter de la donnée. Il fait force de loi à compter cette date, c’est-à-dire qu’il faut être prêt. Et vous, vous êtes prêt ?

Alors que la quantité de données semées dans le cyberespace par les citoyens ne cesse d’augmenter, la question de la protection de la vie privée occupe une place centrale dans le débat public. Six ans de discussions animées entre les États membres ont permis d’accoucher de ce nouveau règlement européen sur la protection des données.

Il affiche trois objectifs principaux :

  • renforcer les droits des personnes,
  • crédibiliser la régulation via des sanctions renforcées,
  • et responsabiliser les acteurs traitant des données ainsi que leurs sous-traitants.

Ces nouvelles dispositions sont censées favoriser l’émergence d’acteurs européens respectueux des données personnelles face aux mastodontes américains, qui seront eux aussi obligés de s’y plier s’ils veulent poursuivre leur activité sur le sol européen. Et toc.

Les droits des personnes fortement renforcés

L’objectif de ce règlement n’est pas d’ensevelir les entreprises sous des monceaux de procédures et règlementations complexes (quoique…), mais de protéger les données personnelles et de renforcer leur contrôle par les individus.

Le droit à la portabilité permet désormais de récupérer ses données sur simple demande, et de les faire transférer, sous certaines conditions, à un autre responsable de traitement.

Le droit à la limitation permet de « geler » ses données personnelles pour demander une vérification. Cette procédure nécessite que l’entreprise migre alors les données en question dans un espace dédié, inaccessible à ses salariés ou au public, le temps que la demande soit traitée.

Le RGDP généralise aussi le droit à l’oubli sur simple demande.

Le droit d’accès aux données est précisé, et l’entreprise doit indiquer, pour chaque donnée :

  • la durée de conservation,
  • les finalités d’utilisation,
  • une éventuelle transmission à des tiers,
  • un transfert hors de l’Union Européenne, et les garanties mises en place pour sécuriser ces données.

Autre point important pour les données récoltées avec un consentement des personnes : l’organisme collecteur doit être capable à tout moment de fournir la preuve de ce consentement, qu’il soit collecté sur papier ou numériquement.

Voilà un sacré programme, et encore, on ne rentre pas dans tous les détails. Mais alors, qui est impacté par tous ces changements ?

Tous concernés, tous responsabilisés

Côté citoyens, tous les Européens sont concernés puisqu’ils pourront utiliser le texte pour défendre leurs informations personnelles.

Côté entreprises, collectivités territoriales, associations, etc., à partir du moment où un organisme collecte, traite et/ou stocke des données personnelles, le RGPD s’applique. Et attention, la simple liste des salariés ou des clients d’une entreprise est déjà considérée comme un fichier de données personnelles…

Le règlement renforce en outre le principe de responsabilité sur l’ensemble de la chaîne de traitement des données, de la collecte au stockage : petits et grands acteurs doivent se mettre aux normes, il n’y pas de dérogation liée à la taille ou à l’activité.

Un arsenal de sanctions renforcées

Pour asseoir sa crédibilité, le RGPD s’assortit de sanctions musclées, visant à faire réfléchir ceux qui hésiteraient à se mettre aux normes. La fourchette va de 10 à 20 millions d’amende, ou 2 à 4% du chiffre d’affaires mondial consolidé pour les organismes qui ne sont pas en conformité. Reste à savoir comment ces sanctions seront mises en place une fois le règlement en vigueur, et adaptées selon la taille des contrevenants.

De la déclaration à l’auto-responsabilité, un changement de culture

On assiste à un changement de culture avec ce nouveau RGPD, en passant d’un système déclaratif auprès de la CNIL à un système d’auto-responsabilité. Les formalités de déclaration disparaissent, et en contrepartie, les organismes doivent pouvoir justifier de toutes les actions mises en place pour se conformer au RGPD.

Les principales mesures induites par le règlement général de protection des données

Le respect du RGPD se concrétise dans les entreprises par la mise en place de mesures organisationnelles, physiques et logiques, telles que :

  • la désignation d’un Data Privacy Officer (DPO), obligatoire dans certains cas et recommandée pour tout le monde, qui doit être formé en matière de protection des données,
  • la mise en place de règles de sécurité concernant le traitement de la donnée,
  • la création de clauses dans les contrats de travail incluant une obligation de respect du RGPD pour les salariés en contact avec la donnée,
  • une sécurisation des authentifications et des habilitations d’accès aux données, avec un suivi précis des embauches et départs de salariés,
  • la sécurisation physique des locaux, salles de serveurs et lieux de stockage des données,
  • la sécurisation des postes de travail fixes et nomades,
  • le contrôle des sous-traitants via des questionnaires de conformité,
  • le chiffrement des échanges lorsque les données sortent de l’organisme…

Et on en oublie…

Comment se préparer au RGPD ?

Si vous n’avez pas commencé à vous pencher sur le sujet, vous avez du pain sur la planche. La première étape consiste à répertorier tous les fichiers contenant des données personnelles, et vérifier si le consentement des individus a été obtenu dans les règles. La CNIL (Commission nationale de l’information et des libertés) propose un accompagnement aux entreprises dans cette démarche.

Si votre entreprise collecte et / ou traite un grand nombre de données, un travail informatique d’envergure doit être envisagé pour rendre possible les droits à l’oubli et à la portabilité.

Vu la complexité de cette nouvelle règlementation, une assistance juridique est recommandée pour se mettre en conformité en tenant compte des spécificités de votre structure et de votre activité (des sociétés sont spécialisées et sont à même de vous aider à vous mettre au carré : consultez à ce sujet).

Les sous-traitants en première ligne eux aussi

Puisque le RGPD concerne toute la chaîne de traitement des données, la conformité des sous-traitants d’une entreprise est un rouage essentiel de sa propre conformité. Comment s’en assurer ? Via des questionnaires très détaillés, élaborés par un expert juridique, qui visent à vérifier les mesures de respect du RGPD mises en place.

Les petites structures travaillant avec de grands groupes seront ainsi auditées sur leurs procédures de traitement de la donnée, et elles ont tout intérêt à être à jour pour répondre aux demandes de compliance de leurs clients.

Quid de l’hébergement ou du transfert de données en dehors de l’Union Européenne ? Certains pays, dont ceux de l’Amérique du Nord, font l’objet d’une décision d’adéquation par la Commission Européenne. Les sous-traitants situés en dehors de ces zones devront eux signer des clauses contractuelles les obligeant au respect du RGPD pour assurer la conformité de leurs clients basés en Europe.

Vous ne saviez pas comment occuper vos ponts du mois de mai ? Voilà qui vous assure un emploi du temps bien chargé jusqu’au 25 !

Article rédigé par Clémentine Garnier
pour Nextdoor, Business Humanizer