RGPD : Qui est concerné par cette nouvelle réglementation européenne ?
Le Règlement Général sur la Protection des Données, désigné encore par “RGPD”, ou “GDPR” en référence au nom anglais, entrera en vigueur le 25 mai 2018.
Ce règlement européen établit et renforce de nouvelles obligations quant à l’utilisation (c’est à dire le traitement) des données personnelles des ressortissants européens.
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle est une donnée liée à une personne physique, et qui la caractérise. Il s’agit donc classiquement du nom, prénom, adresse, adresse email, mais aussi la date de naissance, l’adresse IP... En somme, toute information permettant d’identifier une personne physique directement ou indirectement.
L’enjeu du RGPD est d’encadrer ces données lors de leur traitement. Par traitement, on entend l’utilisation de données à travers un service informatique afin d’atteindre un but précis.
Par exemple, un traitement consiste en l’envoi d’une newsletter à l’ensemble des personnes ayant donné leur accord : l’adresse email (avec, éventuellement, les noms et prénoms) est traitée afin de procéder à l’envoi de la newsletter.
Un traitement peut aussi consister en l’établissement de statistiques pour mieux connaître ses clients à l’aide d’outils big data, dans un but de profilage de la base client.
Enfin, il ne faut pas oublier un cas qui concerne toutes les entreprises sans exception : la gestion des paies repose également sur le traitement de données personnelles.
Quelles obligations à respecter ?
Comme son nom l’indique, le règlement porte sur la protection à apporter autour des données personnelles. Les 88 pages du règlement établissent un cadre à respecter et à construire. Nous avons listé ci-dessous quelques points notables.
Ainsi, loin de lister des points techniques à satisfaire, le règlement impose avant tout à toute entreprise de connaître précisément ses données, la façon dont elles sont traitées, selon quel processus, et par qui/quoi.
Cela permet d’aboutir à la tenue d’un registre de traitement, soit un guide de référence pour identifier clairement et rapidement les parties prenantes et les données concernées en cas d’incident de sécurité.
Le règlement encadre aussi le comportement que les entreprises doivent promouvoir envers les données des utilisateurs finaux, à savoir une transparence et une responsabilité accrue.
Les obligations de prévenir l’utilisateur en amont sur la durée pendant laquelle ses données seront utilisées, mais surtout à quelles fins et ce de façon précise et explicite, sont particulièrement à noter.
La nomination d’un Délégué à la Protection des Données (ou Data Privacy Officer en version anglaise) est aussi un élément incontournable. En effet, ce dernier est le principal artisan du respect des obligations du RGPD : responsable des analyses d’impact, point de contact avec les utilisateurs finaux et les autorités, il incarne la clé de voûte du respect du RGPD.
Ce garant du RGPD peut être commun à plusieurs entreprises, notamment d’un même secteur d’activité : le DPO peut ainsi être force de proposition pour garantir la sécurité des données personnelles au sein de services différents, mais offrant une même protection des données personnelles traitées.
Enfin, par l’intermédiaire du DPO, les entreprises devront communiquer aux autorités compétentes les fuites de données dans un délais maximal de 72 heures à compter du moment où elles en ont connaissance. L’obligation d’informer les utilisateurs dont les informations ont fuitées est aussi énoncée, et doit s’accompagner des moyens mis en oeuvre pour remédier au problème.
A qui s’impose ce règlement ?
Ce règlement s’impose aux entreprises qui procèdent à des traitements de données de citoyens européens, ou de personnes sur le territoire européen. Ces obligations portent sur toute entreprise qui dispose d’une activité en Europe, et donc naturellement à toutes les entreprises établies en Europe.
Enfin, le cas des entreprises établies à l’étranger mais qui traitent des données personnelles au profit d’entreprises européennes sont elles aussi concernées par le RGPD.
Ainsi, il n’y a pas de différence entre les éditeurs et les entreprises utilisatrices : la même préoccupation de protection des données personnelles porte sur ces deux types d’entreprises.
Des sanctions dissuasives
Le respect de ce règlement doit devenir un enjeu fort de la stratégie des entreprises : à défaut d’une prise en compte réelle et sérieuse des obligations de ce règlement, les sanctions sont lourdes.
Une sanction en cas de manquement simple peut aller jusqu’à 2% du CA de l’entreprise (dans le cas d’une entreprise faisant partie d’un groupe international, il s’agit de 2% du CA du groupe) ou jusqu’à 10M d’euros.
En cas de faute grave, la sanction est doublée. Dans tous les cas, le montant le plus élevé est retenu.
Au-delà du préjudice financier, les répercussions seront les plus fortes au niveau de l’image de l’entreprise fautive. Car l’objectif de ce règlement n’est pas de punir la fuite de données, mais de prévenir les comportements à risque des entreprises peu regardantes des données personnelles.
Éditeurs et utilisateurs, même combat ?
S’ils doivent satisfaire le même besoin de protection des données personnelles, il existe un levier commun : ces obligations incarnent une opportunité.
En effet, ce règlement a été conçu afin de permettre à tout utilisateur d’un service de reprendre la main sur des données communiquées assez facilement et traitées parfois peu de considération pour leur finalité.
Une porte est ouverte aux entreprises et aux éditeurs qui le souhaitent de mettre en avant une image respectueuse et intègre, en promouvant un traitement éthique des données personnelles.
Pour cela, anticiper les obligations du RGPD en proposant par exemple aux utilisateurs :
- De prendre le contrôle de leurs données et de l’exploitation qui en est faite en listant clairement et précisément les différents traitements avec la possibilité d’effectuer un opt-in.
- D’effectuer la portabilité de leurs données avec un export sous un format standard (csv, rtf,...).
- D’effacer leurs données clairement et simplement depuis un espace dédié.
- D’avoir un point de contact dédié pour toute interrogation quant au traitement des données.
Pour un éditeur, la valeur ajoutée va consister à se positionner comme un facilitateur, et de donner à ses clients les moyens d’être acteur notamment sur les points suivants :
- La maîtrise des données (localisation, possibilité de masquer/chiffrer,...).
- La communication en cas d’incident.
- La transparence en matière d’accès et des moyens de protection mis en oeuvre.
- La présence d’un point de contact dédié pour toute question relative à la confidentialité des données et des traitements.
Une course déjà dans le sprint final
L’entrée en vigueur du RGPD a lieu demain. Pour assurer le respect des obligations énoncées dans ce règlement, il est essentiel de s’en emparer dès maintenant, et d’anticiper les efforts à fournir.
En effet, connaître et maîtriser son patrimoine de données est un travail intense, qui doit être mené par des équipes métiers dont les préoccupations sont éloignées de ces enjeux.
Tous les acteurs doivent coopérer et se coordonner pour assurer le respect du RGPD : s’emparer des enjeux profonds de ce règlement est une véritable opportunité d’offrir une valeur différenciante, dans un contexte lié aux données qui se transforme durablement.
Article rédigé par Alexis Quentrec, spécialiste RGPD chez Nuageo, Cabinet de Conseil Cloud Computing.