Le règlement général sur la protection des données (RGPD) entre en vigueur le 25 mai 2018 c’est demain ou quasiment ! Cela approche tellement vite ! Mais concrètement, qu’est ce que ça va changer pour une entreprise ?
Si vous faites parti des quelques personnes qui ne sont pas au courant de ce qu’est le RGPD, il va falloir se mettre rapidement à la page car il va changer certaines pratiques dans les entreprises en matière de gestion des données personnelles.
1- Un consentement renforcé
“Qui ne dit mot consent”, c’est bel et bien fini. Le consommateur doit avoir accepté à l’utilisation de ses données personnelles. Son consentement doit être clair et explicite et intervenir avant la collecte des données. Il faut donc préciser si ces données vont faire l’objet d’un démarchage commercial, d’analyses statistiques, si elles seront ou non vendues à des tiers etc.
Evidemment, votre entreprise doit être capable à n’importe quel moment d’en apporter la preuve. Vous devrez mettre en place une gestion centralisée des consentements afin de donner un maximum de visibilité aux utilisateurs mais aussi aux autorités de contrôles.
2- Des datas vraiment protégées
Le bilan est inquiétant puisque près de 70% des startups protégeraient mal les données personnelles collectées. Pourtant, à partir du 25 mai 2018, le traitement des données personnelles devra faire l’objet d’une étude en amont, et avoir une place de choix dans les cahiers des charges. Vous l’avez compris, la protection des données n’est plus d’optionnel, c’est un incontournable.
3- La star de la réforme : le droit à l’oubli
Le droit à l’oubli permet aux internautes qui en feront la demande de voir leurs données définitivement supprimées dans un délai de 30 jours. C’est une mesure complexe à mettre en place pour les entreprises car les demandes vont se multiplier. Certains se souviennent des 386 038 recours reçus par Google en moins de 2 ans dans l’affaire “Google Spain” ! L’entreprise devra se rapprocher au mieux de ses clients, les séduire davantage pour que ces derniers renoncent à utiliser leur droit à l’oubli.
4- La portabilité des données
Le principe est le même que pour les opérateurs téléphoniques. Vous pouvez changer d’opérateur tout en conservant votre numéro. Ce principe est étendu à toutes les entreprises. Le client pourra demander le transfert de ses données personnelles à une autre entreprise sous réserve que cela soit “techniquement possible”. Là encore, de nombreuses complications sont à prévoir tant sur le plan technique que concurrentiel.
5- Un délégué à la protection des données (DPO) : est-ce obligatoire ?
Rassurez-vous, la présence d’un délégué à la protection des données n’est pas une obligation pour toutes les entreprises. C’est réservé tout d’abord aux autorités publiques ou organisme publique. Mais aussi aux entreprises qui effectuent des traitements exigeant un suivi régulier et systématique à grande échelle des personnes concernées. Enfin aux entreprises qui effectuent des traitements de données sensibles.
Le DPO aura de nombreuses missions : mettre en œuvre et suivre toutes les initiatives de mise en conformité avec le RGPD, coopérer avec les autorités de contrôle, centraliser toutes les demandes de droit à l’oubli, de portabilité etc. La liste n’est pas exhaustive, mais son rôle sera crucial et le DPO devra disposer de compétences juridiques et techniques très poussées.
6- Quelles sanctions en cas de non-respect ?
Votre entreprise doit impérativement être en conformité avec le RGPD. En cas de non-respect de la vie privée des utilisateurs, les entreprises seront tenues de le notifier sous 72h à la CNIL mais aussi aux utilisateurs. Ces derniers pourront demander à être indemnisés. Et les sanctions en cas de non-conformité sont extrêmement sévères. L’amende maximale est portée à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel.
On ne plaisante pas avec le RGPD !
