Le nouveau Règlement Général européen sur la Protection des Données (RGPD) : ce que vous devez savoir

Le nouveau Règlement Général européen sur la Protection des Données (RGPD) : ce que vous devez savoir

Le nouveau Règlement Général européen sur la Protection des Données (RGPD) entrera en application à partir de mai 2018. Nous répondons aux neuf questions principales que les entreprises se posent sur le sujet.

1. Qu’est-ce que le RGPD ?

Bien qu’entré en vigueur le 24 mai 2016, le RGPD ne s’appliquera qu’à partir du 25 mai 2018, sans aucun délai de transposition. Autrement dit, les nouvelles règles visant la gestion des données à caractère personnel doivent être examinées de manière très précise, et respectées au plus tard à partir du 25 mai 2018 sous peine de sanctions. Sont considérées comme données à caractère personnel, les informations sur les personnes physiques identifiées ou identifiables comme le nom, l’adresse, les données bancaires, la plaque d’immatriculation et, dans de nombreux cas, également l’adresse IP (Internet Protocol).

2. Quel est l’objectif du RGPD ?

Les objectifs du règlement sont de deux ordres : il s’agit d’abord d’alléger et d’uniformiser les nombreuses lois nationales ainsi que les diverses directives européennes applicables dans le cadre de la révision de la protection des données. Ensuite, il est question de la protection des personnes concernées. Toute personne physique doit en principe pouvoir garder la maîtrise de la publication, de l’étendue et de l’utilisation des données qui la concernent et qu’elle considère essentielles.

3. A quelles entreprises le Règlement s’applique-t-il ?

En principe, à toutes les entreprises de l’UE qui traitent des données à caractère personnel, c’est-à-dire qui concernent les employés et les clients. Toutefois, le Règlement s’applique aux entreprises hors UE qui, dans leur domaine d’activité, traitent des données visant des citoyens européens. Les exceptions sont peu nombreuses puisque même les entreprises dont l’activité est artisanale disposent de données clients dans leur système comme des adresses et des numéros de compte.

4. Quelles sont les prescriptions principales ? 

Le RGPD dit que les données ne peuvent être traitées que s’il existe une base légale, ou que si l’entreprise a reçu l’accord de la personne concernée. Ce qui correspond au droit déjà en vigueur. A partir de mai 2018, le devoir d’information des entreprises sera étendu, celles-ci seront tenues de prouver qu’elles traitent les données conformément aux normes en vigueur. Autre nouveauté, la protection des données fondée sur une conception technique : les nouveaux produits respectent déjà les principes de la protection des données dès leur conception. Par exemple, un logiciel doit faciliter la protection des données par défaut.

Le devoir d’information s’étend également à l’égard des personnes concernées, en particulier le droit à la portabilité des données. Les entreprises doivent pouvoir remettre aux personnes concernées leurs données sous un format standard et lisible par ordinateur, pour leur permettre de se tourner plus facilement vers une autre entreprise.

Les entreprises continuent à avoir besoin d’un contrat pour le traitement des données, c’est-à-dire des documents par lesquels les personnes autorisent le traitement de leurs données (cela inclut les contrats de souscription de produits, comme les contrats de téléphonie mobile). Les personnes concernées, celles dont les données sont traitées, peuvent désormais s’adresser au contractant, donc l’entreprise, et à des tiers impliqués, par exemple un service de cloud.

5. Quelles sont les obligations de l’entreprise ?

C’est à la direction de l’entreprise qu’il incombe d’organiser la protection des données. Toute entreprise comptant au moins 10 employés est tenue de désigner un délégué à la protection des données, cette fonction pouvant également être externalisée. De plus, la direction de l’entreprise doit indiquer à ses divers départements comment travailler avec le Délégué à la Protection des Données (DPO). Chaque entreprise doit tenir un registre des activités de traitement, soit un accès au logiciel où les principaux processus de traitement de données sont exécutés, et indiquer qui en est le responsable. Des enquêtes montrent cependant qu’à ce jour, seule la moitié des entreprises est dans ce cas.

6. Y a-t-il des mesures à recommander aux entreprises pour qu’elles se préparent au mieux à la nouvelle situation juridique ? 

Les autorités de surveillance se multiplient et il est permis de penser qu’elles examineront bientôt ce qui a déjà été entrepris dans le sens du RGPD. Chaque entreprise devrait au minimum pouvoir présenter un plan de mise en œuvre du règlement. On devrait rapidement se rapprocher de cette thématique. Plus le traitement des données est complexe, plus une entreprise a de sites, plus cela prendra du temps. Cela demande un gros effort d’organisation sur 6 mois au moins, ce qui représente en fait une courte période.

7. Quelles sont les sanctions encourues en cas de non-respect du RGPD ?

Jusqu’ici, la sanction se chiffrait à un maximum de à 300 000 euros. Mais la nouvelle grille prévoit jusqu’à 4% du chiffre d’affaires annuel de l’entreprise à l’échelle mondiale. Selon la lecture des autorités, cela ne concerne pas seulement le chiffre d’affaires d’une division fautive, mais celui de l’ensemble du groupe. Par conséquent, les sanctions peuvent vite se chiffrer en millions, ce qui aggrave les conséquences d’une infraction.

8. Quels sont les inconvénients ? 

Les entreprises doivent faire face à des coûts supplémentaires dus à un travail de documentation plus conséquent, à une transformation profonde, à des demandes de consentement plus précises.

 9. Le nouveau RGPD présente-t-il également des avantages pour les entreprises ? 

Grâce à l’uniformisation, toutes les entreprises se retrouvent dans le même cadre légal. Jusqu’à présent, la situation juridique pour les entreprises comptant beaucoup de sites ou de clients dans différents pays était très complexe. La simplification offre en outre un effet secondaire positif, puisque les entreprises américaines et les autres entreprises internationales suivent l’orientation du RGPD.

2018-03-23T11:50:15+00:00