Suivez les rendez-vous incontournables B2B


Pour aller plus loin, inscrivez-vous à notre newsletter pour recevoir tous les mois, les articles les plus lus et les rendez-vous incontournables

Nouvelle réglementation RGPD : Qu’est-ce qui change pour les entreprises ?

 

 

 

 

 

 

 

 

 

 

 

 Les essentiels : Tout ce qu'il faut savoir pour être "RGPD compliant" ! Découvrez à travers notre série d'articles les fondamentaux du RGPD. Quelles sont les nouveautés pour les entreprises ? Quels changements sont induits par ce nouveau règlement et surtout quelles sont vos nouvelles obligations ? 

 

Le RGPD c’est quoi ?

 

Le RGPD, ou Règlement Général sur la Protection des Données, a été conçu par le Parlement européen dans le but de renforcer les droits individuels en matière de collecte et d’utilisation des données personnelles. Adopté en avril 2016 il entrera en vigueur le 25 mai 2018.

 

Dans quel but ?

 

Évolutions technologiques et mondialisation ont créé de nouvelles problématiques dans la protection des données à caractère personnel. Augmentation des volumes de collecte et de partage, accessibilité croissante des informations et technologies au service des entreprises ont facilité le flux des données à caractère personnel au sein de l’UE et vers des pays tiers.

Aujourd’hui ces évolutions nécessitent de mettre en place un cadre de protection des données plus rigoureux et plus cohérent au sein des différents pays de l’UE. C’est dans cette volontée de garantir la sécurité juridique et pratique des individus qu’est née le RGPD. Ce règlement s’applique à toute société, organisme ou institution récoltant et manipulant des données à caractère personnel sur des individus résidants dans l’UE.

Pour commencer à parler RGPD, il est essentiel de bien comprendre la notion de donnée personnelle :

Le terme «données à caractère personnel» englobe toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Ainsi le RGPD, englobe dans sa définition toute donnée se rapportant à un individu dans un sens large du terme. Il est cependant nécessaire de comprendre que chaque donnée “à caractère personnel” ne possède pas le même degré de sensibilité. Ainsi le règlement définit comme données sensibles toutes informations concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. Les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes.

 

Quelles sont les nouveautés du RGPD ?

 

Une des volontés forte du RGPD est la responsabilisation des entreprises concernées avec un double enjeu de traçabilité et de transparence, essentiels à la confiance. Le principe “d’accountability” oblige l’entreprise à garantir, à tout moment, que les processus en place sont conformes, sécurisés et garantissent la confidentialité des données dès la conception de tout projet (Privacy by design) et ce par défaut (Privacy by default). Les entreprises devront maintenant tenir un “registre des traitements des données” où sera recensé et consigné chaque traitement de données personnelles au sein de l’entreprise. Vous devrez ainsi repenser tous vos processus pour être à chaque instant en mesure de prouver votre conformité !

Le règlement décline les nouvelles obligations des entreprises au travers de plusieurs grands principes à mettre en oeuvre pour être en conformité !

 

  • Légitimité !

Les données personnelles ne peuvent être obtenues que pour des “finalités déterminées, explicites et légitimes” (article 5.1.b). L’entreprise doit ainsi informer l’individu de la raison de sa collecte en explicitant les finalités d'utilisation et en les respectant. Elle doit aussi garantir de minimiser les données récoltées au minimum nécessaire pour répondre à la finalité énoncée et indiquer de manière explicite les durées de conservation des données dans ses bases.

 

  • Licéité et transparence !

Finit le consentement tacite, les individus doivent systématiquement pouvoir donner leur accord ou refuser l’utilisation de leurs données. L’individu devra donner son consentement (article 7) explicite à l’utilisation desdites données (plus de cases précochées …). Pour toute donnée collectée, l’individu devra être en mesure d’appliquer son droit à l’oubli (destruction ou anonymisation des données, article 17) et son droit à la portabilité (export des données sous un format intelligible, article 20) quand il le souhaite.

 

  • Sécurité et respect de la vie privée !

En cas de violation de la vie privée, vol ou perte de données, les entreprises ont 72h pour notifier la CNIL. Tout responsable de traitement doit mettre en oeuvre des mesures techniques et organisationnelles pour garantir la confidentialité des données, leur intégrité et leur disponibilité dans des délais appropriés. La notion d’évaluation du risque devient une pièce centrale de sa stratégie RGPD et implique une réelle remise en question des traitements à chaque niveau organisationnel.

 

Quels sont les impacts sur les entreprises ?

 

Vous l’avez bien compris, le RGPD va demander aux entreprises une remise en question profonde des processus de traitement des données. La gouvernance est l’enjeux réel pour chaque entreprise concernée. Il s’agit d’intégrer à son organisation les notions de “Privacy by design” et “privacy by default”. Il faut repenser ses processus à l’échelle de chaque collaborateur pour sensibiliser chacun dans la gestion des données personnelles. On parle ici d’une refonte des processus métiers autours des grands principes énoncés (Guide: “Se préparer en 6 étapes”, CNIL).

Responsable de traitement et DPO (article 37)

Une des premières actions à mettre en oeuvre pour chaque entreprise va être de désigner un responsable de traitement et un DPO (Data Protection Officer). Le responsable de traitement est le garant dans l’entreprise que les mesures techniques et organisationnelles ont été mises en oeuvre pour effectuer des traitements en conformité. La désignation d’un DPO est nécessaire lorsque :

  • le traitement est effectué par une autorité ou un organisme public,
  • l’activité de l’entreprise la conduit à effectuer un suivi régulier et systématique des personnes à grande échelle,
  • leur activité de base les amène à traiter à grande échelle des données sensibles, ou qui ont trait à des condamnations ou infractions pénales.

Le DPO est le “chef d’orchestre” qui accompagne chaque collaborateur de l’entreprise à travers des missions de conseil et d’assistance, c’est lui qui s’informe sur les nouvelles obligations. Le DPO doit être indépendant et ne surtout pas être placé en situation de conflit d'intérêt.

Sous-traitance

Tout prestataire de services informatiques, intégrateur de logiciel, société de sécurité informatique, SSII, ou encore société de marketing / communication traitant des données personnelles pour le compte de ses clients est considéré comme un sous-traitant au regard du RGPD. Ces derniers sont tenus d’appliquer les principes de sécurité et de protection des données dès la conception de leur service / produit et de mettre en place les mesures de garantie correspondantes.

Il est important que chaque entreprise consulte ses partenaires (sous-traitants) pour se tenir au fait de leur conformité. En cas de contrôle une co-responsabilité peut en effet être engagée s’il s’avère que le règlement n’est pas respecté.

Gestion du risque

La mise en conformité implique une réelle réflexion des processus existant pour chaque entreprise. Un moyen efficace d’auditer son organisation est de réaliser une analyse d’impact sur la protection des données (PIA). Cette étude va vous permettre de vérifier le respect des principes et droits fondamentaux édités par le règlement, de même que de déterminer les mesures techniques et d’organisation appropriés.

 

Sanctions encourues en cas de non-respect du RGPD

 

 Le Parlement Européen a souhaité appuyer son nouveau règlement de sanctions fortement dissuasives. En effet la violation des dispositions émises peut entraîner une amende allant jusqu’à 20 000 000 euros ou pour une entreprise 4% de chiffre d’affaires annuel mondial de l’exercice précédent. Pour en savoir plus article 83

Boostez votre performance commerciale avec INES.Sales, la solution en conformité avec votre stratégie RGPD !
SMART CRM & ERP Cloud solution
 

Erica Seng-Sourinho

Digital Marketing Manager - INES CRM

Top