Alors le RGPD c’est quoi ?
Ce Règlement Général sur la Protection des Données (RGPD) est un texte européen, entré en vigueur le 24 mai 2016 et applicable dès le 25 mai 2018, qui vise à renforcer la protection des données à caractère personnel.
Il s’agit de défendre le secret de confidentialité des internautes citoyens européens tout en créant à l’échelle de l’Union Européenne un cadre harmonisé de la protection des données.
Pourquoi cette loi ?
Le but est de redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises.
Le gouvernement tient à protéger les citoyens européens contre les utilisations malveillantes de leurs données à caractère personnel.
Qui est concerné ?
- Entreprises & Sous-traitants + Prestataires
- Administrations
- Associations
Les sanctions se renforcent
Alors qu’il y a peu, la CNIL ne pouvait aller au-delà d’une amende de 150 000 euros, elle pourra dès mai 2018 aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires mondial annuel.
QUELS VONT ÊTRE LES CHANGEMENTS CONCRETS ?
Obtenir un consentement explicite
Les entreprises devront être capables de garantir et de prouver à tout moment que le traitement des données est conforme et sécurisé. « Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale », précise le texte.
Fini donc les cases pré-cochées, ou celles noyées dans un flot de conditions générales que personne ne lit. Le RGPD redonne tout son sens au mot consentement
Le droit à l’oubli
Il s’agit ici pour les entreprises d’être en mesure de garantir aux personnes qui leur en feront la demande que leurs données seront bien définitivement supprimées de l’ensemble de leurs systèmes, et ce, dans un délai de 30 jours.
La portabilité des données
A l’instar des opérateurs téléphoniques qui sont désormais obligés de permettre aux clients de conserver leur numéro en cas de résiliation de contrat et de départ chez un concurrent, le RGPD impose désormais aux entreprises de mettre à disposition des personnes qui le demandent leurs données personnelles dans un format « structuré, couramment utilisé et lisible par machine ». Le texte va même plus loin en affirmant que la personne pourra demander à une entreprise de transférer directement ce fichier de données personnelles à une autre entreprise.
Étendre les obligations aux sous-traitants
Les organismes qui réalisent le traitement des données ne sont pas les seuls à devoir respecter le RGPD. Les sous-traitants doivent aussi se mettre en conformité et les entreprises doivent choisir un prestataire qui répond aux exigences de la nouvelle réglementation. Cortex est d’ores et déjà en adéquation avec ces nouvelles lois.
Désigner un responsable à la protection des données
Il sera chargé de piloter la gestion et le traitement des données. Il doit s’assurer du respect des obligations juridiques et de superviser l’ensemble du travail fait sur ce domaine. Il est fortement recommandé de créer ce poste, mais il sera obligatoire pour certains organismes :
- Les publics
- Les organismes qui manipulent des données sensibles (santé, juridique…)
- Les organismes manipulant des données « à grande échelle »
Il ne suffira pas de changer l’intitulé de poste de votre correspondant informatique et liberté (CIL) pour satisfaire cette nouvelle exigence, mais de mettre en place une réelle gouvernance autour de la protection des données personnelles.
Pour conclure, il faut retenir que le RGPD repose sur une logique de responsabilisation et de transparence, alors que les obligations des organismes au regard de la loi informatique et libertés reposaient en grande partie sur les formalités préalables.
Concrètement, cette notion nouvelle de responsabilité va s’illustrer par :
- La prise en compte de la protection des données dès la conception d’un service ou d’un produit ;
- La mise en place d’une organisation, de mesures et d’outils internes garantissant une protection optimale des personnes dont les données sont traitées.
Pour aller plus loin, n’hésitez pas à consulter l’article sur le règlement européen sur la protection des données de la CNIL : https://www.cnil.fr/fr/reglement-europeen-protection-donnees