Vous avez forcément entendu parler du Règlement Général sur la Protection des Données (RGPD). Mais vous vous demandez en quoi cela consiste et ce que ça change pour vous. Si vous êtes une entreprise ou un consommateur, l’impact n’est pas le même pour vous.
Conformément au texte de l’Union Européenne, les citoyens doivent récupérer le plus de droits possible en matière de données personnelles. Ce qui permettra de faciliter le cadre réglementaire applicable aux sociétés. Les différentes propositions reprennent des aspects plus positifs : uniformisation du régime réglementaire, champ d’application étendu, liberté de radiation (une version simplifiée en quelque sorte du droit à l’oubli), respect des normes de sécurité par excellence, mais également protection de la portabilité ou du profilage.
Engagements pour l’entreprise, privilèges pour les individus
Le RGPD (ou GDPR en anglais) est une réglementation adoptée au niveau européen qui a pris effet le 25 mai 2018. Considérant que les technologies et les usages sont en constante évolution pour plus de 20 ans, cette loi est appelée à substituer un système juridique désuet.
Dans un premier temps, le présent règlement prévoit des obligations pour les sociétés. Celles-ci visent essentiellement à atteindre un degré élevé de sécurité et de confidentialité sur les données :
- Établir des relevés des traitements afin de savoir qui les utilisent.
- Effectuer des évaluations constantes des résultats.
- Communiquer toute violation des données à caractère personnel sous un délai de trois jours
- Solliciter l’accord de l’utilisateur.
Par ailleurs et parallèlement, le RGPD offre de nouveaux droits aux citoyens :
- le recours à une information précise et détaillée sur les données personnelles en possession de la société et leur utilisation (avec des modalités spécifiques pour les mineurs)
- la portabilité de ces données (d’une société à l’autre)
- le droit à l’oubli, la compensation en cas de dommage, etc..
Si les obligations ne sont pas respectées par les entreprises, elles encourent de très grosses amendes. En France, c’est la CNIL qui est en charge de faire respecter le RGPD.
Le RGPD est contraignant pour les entreprises
Le projet RGPD ressemble beaucoup, en apparence, à une obligation contractuelle additionnelle qui constitue une lourde surcharge de travail. La société est obligée de répertorier les données à caractère personnel détenues par elle-même et ses sous-traitants. Ces données doivent également inclure les opérations de traitement les utilisant. Il faut ensuite réaliser une analyse des incidences et des problèmes en fonction du caractère des données, de façon à recenser les plus délicates et celles susceptibles d’être manipulées frauduleusement par la société ou susceptibles d’être hackées. Il faut également mettre à jour sa politique de confidentialité mais également sa politique en matière de cookies. Si vous êtes une entreprise et que vous cherchez à vous mettre en conformité avec le RGPD, vous pouvez faire appel à des sociétés spécialisées comme https://data-gdpr.eu/