À partir du 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) prendre pleinement effet. Ce nouveau règlement vise à renforcer les droits des citoyens en lien avec le digital et à responsabiliser les entreprises. Mais malgré l’imminence de son application, beaucoup d’entreprises ne savent pas encore ce qu’est vraiment le RGPD. Quelques éclaircissements s’imposent donc.
RGPD : les raisons de sa création
Les objectifs poursuivis par le législateur européen en concevant le Règlement Général pour la Protection des Données sont multiples. Tout d’abord, il y a la volonté de créer un texte de référence pour les législations nationales portant sur la protection des données. Le RGPD vient apporter un peu d’ordre dans le monde de la protection des données en mettant fin à des pratiques contraires aux droits et libertés des personnes.
Outre tout cela, le nouveau règlement européen sur la protection des données a été conçu pour poser des limites l’utilisation par les entreprises des nouvelles technologies dans leur recherche du gain et du profit. Au centre du RGPD donc, l’individu. De nombreuses dispositions ont été prévues pour permettre à ce dernier de profiter et de protéger ses droits (droit à l’information, droit à l’effacement, droit à la portabilité…
Enfin, le RGPD veut responsabiliser tous les acteurs du monde de la data en les obligeants à s’engager dans une démarche ayant pour but de renforcer la sécurité des données qu’ils traitent. Et pour ce faire, le nouveau règlement a prévu des sanctions relativement sévères pour les contrevenants.
Qui sont concernés par le RGPD ?
Les entreprises dont l’activité est fondée sur le traitement de données personnelles sont les principales concernées par le RGPD : banques, assurances, e-commerçants, fournisseurs de services SaaS, sociétés du CAC 40, éditeurs d’application mobile…
Toute entité (personne privée ou personne publique) réalisant des traitements (collecte, analyse, transfert…) de données à caractère personnel est également soumise à ce règlement. En réalité, toutes les entreprises sont concernées par le RGPD puisque le simple fait de faire une analyse des données du personnel (adresse, données familiales…) constitue un traitement.
Enfin, le citoyen européen est également l’un des principaux concernés par le RGPD. Si l’on analyse le RGPD, on constate que ce nouveau texte veut instaurer une nouvelle logique de contrôle. Outre les autorités de contrôle, le nouveau règlement sur la protection encourage le citoyen à demander au responsable de traitement à demander le respect de ses droits. Pour ce faire, il peut faire un « recours gracieux » ou apporter son affaire devant la CNIL ou la justice.
Comment se mettre en conformité avec le RGPD ?
Se mettre en conformité avec le RGPD oblige tout d’abord l’entreprise à concevoir une politique de gouvernance de la Data fondée sur les normes imposées par le nouveau règlement. Cela exige également de mettre en œuvre plusieurs obligations dont :
- La désignation d’un DPO ;
- La mise à jour de la politique de confidentialité (prise en compte des nouvelles normes) ;
- La conception d’un d’une charte de conformité (référentiel de sécurité) ;
- La réalisation d’une étude impact quand le traitement portera sur des données sensibles ;
Respecter le RGPD ne permettra pas seulement de se prémunir de sanctions sévères, cela permettra également à l’entreprise d’être plus concurrente en mettant en place une relation de confiance avec les clients.
