Actu

La RGPD, quels changements ?

La RGPD a été conçue afin d’adapter et de moderniser le cadre juridique en matière de protection des données à ces évolutions technologiques. Plus largement, elle a pour ambition de redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises.

Le nouveau règlement européen sur la protection des données est entré en vigueur le 25 mai 2018 est impacté toutes les entreprises faisant du traitement de données. La RGPD impose un nouveau mode de gouvernance de la data (passage d’une logique quantitative à une logique qualitative, Privacy By Design, etc.) et crée de nouvelles obligations pour les entreprises.

Quels sont les principaux impacts de le GDPR pour les entreprises ? Quels sont les principaux changements à anticiper au niveau organisationnel et technique ?

 

La nouvelle approche du traitement des données

La RGPD a retenu une définition très large du traitement des données. Le traitement des données désigne à la fois la collecte, l’accès, le stockage, la manipulation, la destruction et la consultation à distance des données.

Cette compréhension fait entrer la plupart des entreprises dans le champ d’application de la RGPD. Même les entreprises qui externalisent la collecte et le stockage des données sont réputées faire du traitement des données, dès lors qu’elles les consultent à distance. Tous les services des entreprises sont potentiellement concernés par les nouvelles règles de la RGPD : service client, marketing, ressources humaines, facturation, service juridique, service commercial.

La mise en conformité de la RGPD va impacter toute l’organisation des entreprises et pas seulement les services techniques. Cela implique, pour les entreprises, d’avoir une vision globale des différentes données dont disposent leurs services et des usages qui en sont fait. Force est de constater que cette vision globale fait encore défaut à la plupart des entreprises.

L’un des premiers impacts de la RGPD sur les entreprises est d’obliger les entreprises à acquérir cette vision globale, par le recensement de toutes les données à disposition et la rationalisation de la gouvernance des données.

La minimisation des données

Pour les entreprises, la minimisation des données impliquent de :

  • Recenser toutes les données à disposition de manière systématique.
  • Nettoyer la base de données : faire le tri dans les données et supprimer les données inutiles ou périmées.
  • Revoir la stratégie de collecte de données en se recentrant sur les données créatrices de valeur.

Le premier impact « global » réside bien là : forcer les entreprises à se doter d’une nouvelle philosophie de la data. La RGPD oblige les entreprises à rationaliser leur collecte et leur traitement des données à caractère personnel.

Le Privacy by Design

A la minimisation des données est associée une nouvelle méthode, le Privacy By Design. Si le Privacy By Design n’est certainement pas une approche nouvelle, il est explicitement mentionné et rendu obligatoire dans la RGPD.

Le Privacy By Design consiste à se préoccuper des enjeux de protection de la vie privée et donc des données personnelles numériques dès la phase de design.

Le Privacy By Design implique de faire de la protection des données une priorité absolue, prise en compte tout en amont des phases de développement des produits ou services. Privacy By Design et la minimisation des données poursuivent deux objectifs identiques : responsabiliser davantage les entreprises sur les enjeux de protection des Données à Caractère Personnel, et offrir aux personnes un niveau de protection maximum de leurs données.

Quelles entreprises sont concernées par la RGPD ?

Depuis le 25 mai, sont concernées toutes les entreprises privées et publiques des 28 Etats membre de l’Union Européenne, plus particulièrement :

  • Les entreprises proposant des biens et services sur le marché de l’UE ;
  • Les entreprises collectant des données à caractère personnel sur les résidents de l’UE.

A noter que le règlement s’appliquera également aux entreprises non implantées en UE, dès lors qu’elles collectent et traitent des données personnelles sur des résidents de l’UE.

La RGPD concerne uniquement la protection des données personnelles rattachées à des personnes physiques et non à des personnes morales.

Les 4 principes clés de la RGPD

L’aménagement de la RGPD s’articule autour de 4 principes clés : le consentement, le droit des personnes, la transparence et la responsabilité.

Le consentement

La RGPD intensifie la notion de consentement. Depuis le 25 mai 2018, le consentement des individus quant à la collecte et au traitement des données à caractère personnel les concernant devra être explicite. Il pourra être retiré à tout moment par les individus le demandant. Les entreprises faisant du traitement de données devront, par ailleurs, être en mesure de prouver le recueil de ce consentement le cas échéant (en cas de contrôle de la CNIL).

Une distinction doit être faite entre le B2B et le B2C concernant les règles du consentement relatif aux sollicitations par email.

Pour les entreprises B2B, la collecte du consentement n’est pas obligatoire si la finalité de la collecte est bien respectée. En revanche, le consentement est obligatoire pour des sollicitations par des tiers (filiales, partenaires…).

Les entreprises B2B collectant de la donnée B2C devront veiller à bien séparer les modes de collecte suivant qu’il s’agit de données B2B ou de données B2C.

La RGPD a aussi des conséquences dans le mode de gestion des cookies, elle impose la mention des informations suivantes : la finalité du cookie, le droit d’opposition de l’utilisateur et l’acceptation implicite de l’utilisateur si celui-ci décide de poursuivre sa navigation. Autre conséquence, depuis mai 2018, aucun cookie ne pourra être déposé si l’utilisateur rebondit sur la page sauf les cookies nécessaires au bon fonctionnement du site.

Toujours le consentement, la RGPD prévoit une autre évolution majeure : l’encadrement du profilage. Le règlement n’interdit pas cette pratique, mais renforce son encadrement. Il impose notamment le recueil d’un consentement explicite de la part des personnes par le biais de case à cocher. Le profilage sera par ailleurs soumis à compter de mai 2018 au droit d’opposition.

La transparence

La transparence est le deuxième grand principe mis en avant dans la RGPD. Elle s’articule au consentement, dans la mesure où la transparence est la condition de possibilité d’un consentement explicite. Les entreprises devront et ce dès la phase de collecte fournir aux individus des informations claires et sans ambiguïtés sur la manière dont leurs données seront traitées. Ces informations devront être fournies de façon concise, compréhensive et accessible par tous.

Le droit des personnes

La RGPD se donne pour objectif de renforcer les droits des personnes et le contrôle des personnes sur les données à caractère personnel les concernant. La RGPD redéfinit des droits déjà existants et en consacre de nouveaux :

  • Droit d’information : Ce droit résulte du renforcement des exigences en matière de transparence sur la finalité de la collecte et la nature des traitements sur la finalité de la collecte et la nature des traitements.                                                                                     
  • Droit d’accès : En vertu de l’article 15, toute personne, aura le droit d’obtenir la confirmation que ses données sont traitées ou non, et d’accéder à ses données traitées. Ce droit découle aussi du principe de transparence. Les entreprises devront mettre en place des dispositifs, des interfaces et des outils permettant de garantir le droit d’accès, en facilitant l’accès des utilisateurs aux données.
  • Droit de rectification : La possibilité d’obtenir que les données inexactes soient rectifiées, et les données incomplètes complétées. Cela implique des changements organisationnels du côté des entreprises, pour garantir ce droit dans les meilleurs délais.
  • Droit à l’oubli : La demande d’effacement de ses données après avoir retiré son consentement. Si le responsable des traitements a rendu les données publiques, il devra informer les autres responsables des traitements et leur demander de les effacer
  • Droit à la portabilité : Donne à toute personne le droit, dans certains cas, de recevoir, dans un format structuré et facilement utilisable, les données la concernant, afin de les transmettre, le cas échéant, à un autre responsable des traitements.
  • Droit d’opposition : permet à la personne de s’opposer au traitement des données la concernant.

Les entreprises doivent mettre en place des procédures et des outils permettant l’exercice de ces droits. Ce qui implique des changements organisationnels et techniques plus ou moins importants selon l’état de la gouvernance des données des entreprises.

La responsabilité

La RGPD vise à responsabiliser davantage les entreprises dans leur traitement des données à caractère personnel. Cela se traduit par :

  • L’obligation faite aux entreprises de documenter toutes les mesures et procédures en matière de sécurité des DCP (Données à Caractère Personnel) : Les entreprises doivent être en mesure de démontrer leur conformité avec la réglementation en cas de contrôle de la CNIL. Cette mesure se traduit par l’obligation de tenue d’un registre des traitements qui permettra de constituer une base de données des traitements, mais pourra aussi servir à centraliser et à suivre toutes les démarches de conformité mises en œuvre par l’entreprise.
  • Le renforcement des mesures de sécurité : Les entreprises sont responsables de la sécurité des données qu’elles traitent et doivent mettre en place les mesures adéquates pour la garantir (pseudonymisation des données, analyses d’impact, tests d’intrusion…).
  • L’encadrement des sous-traitants : Les entreprises devront choisir des sous-traitants présentant des garanties suffisantes. En cas de faille de sécurité au niveau du sous-traitant, ce sera l’entreprise cliente qui sera tenue pour responsable. En conséquence, les entreprises doivent revoir les contrats signés avec les sous-traitants en intégrant des clauses concernant les DCP. La RGPD instaure en fait un régime de co-responsabilité des sous-traitants.
  • La notification en cas de faille de sécurité : Les entreprises ont pour obligation de mettre en place des actions en cas de violation de sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée de DCP. En cas de faille de sécurité, l’entreprise devra le notifier à la CNIL dans un délai de 72h. Les personnes physiques concernées devront être informées si la faille ou la violation de données comporte un risque élevé pour les droits et libertés.
  • L’obligation de désignation d’un DPO (Délégué à la Protection des Données) :  il sera en charge de piloter la gouvernance des données, de contrôler la conformité de l’entreprise avec la RGPD et de conseiller le responsable des traitements. Cette obligation de désignation d’un DPO ne s’applique qu’aux entreprises réalisant des traitements sur des données sensibles et / ou à grande échelle.
  • La suppression de l’obligation de déclaration préalable à la CNIL :  Cette mesure traduit le principe qui gouverne la RGPD : responsabiliser les entreprises, en développant l’auto-contrôle.

Les sanctions

Depuis le 25 mai 2018, les entreprises s’exposent à de lourdes sanctions financières en cas de contrôle de la CNIL. L’amende prévue s’élève à :

  • Une amende maximum de 20 millions d’euros
  • Ou une amende s’élevant à  4% du chiffre d’affaires mondial (de l’année passée).

Ces sanctions financières, par leur niveau, dotent la CNIL de moyens très dissuasifs.

La RGPD suggère aux entreprises la conception d’un code de conduite (article 24), afin de diffuser, dans l’organisation, les nouvelles pratiques en matière de traitement des données.

L’augmentation des obligations du responsable des traitements et le renforcement de ses responsabilités oblige les entreprises à revoir complètement leur gouvernance des données. Les mesures liées à la responsabilisation des entreprises sont sans aucun doute les plus impactantes à moyen terme.

Finalement, la RGPD opère de grands changements dans le paysage réglementaire relatif à la protection des données à caractère personnel. Elle implique un changement profond de culture. Les réticences et les appréhensions des entreprises concernant la RGPD sont en partie justifiées : on passe clairement d’un monde de libertés, où l’encadrement du traitement des données personnelles était limité, à un mode plus contraignant. Mais aussi un levier de différenciation et un moyen d’offrir un maximum de garanties à ses clients et ainsi elle sera demain la clé de réussite de la performance CRM.

Si vous le souhaitez, vous pouvez consulter la version finale du règlement ici.

Justine Damoiseau & Elisa Goncalves

Leave a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.