Qu’est-ce que le RGPD ou GDPR ?
Le RGPD (ou GDPR) est le Règlement Général pour la Protection des Données (ou General Data Protection Regulation), une nouvelle réglementation européenne qui vise à renforcer la protection des données personnelles.
Une nouvelle réglementation en matière de protection des données : pourquoi faire ?
Les objectifs du législateur européen exprimés à travers le Règlement Général pour la Protection des Données (RGPD) sont multiples. Il s’agit de créer un cadre renforcé et harmonisé de la protection des données tenant compte des récentes évolutions technologiques (Big Data, objets connectés, Intelligence Artificielle) et des défis qui accompagnent ces évolutions. L’individu est placé au cœur du dispositif légal qui voit ainsi ses droits renforcés (consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l’effacement, etc.).
Sous l’impulsion du RGPD sont ainsi renforcées les devoirs et responsabilités de toute la chaîne d’acteurs, du responsable de traitement aux partenaires commerciaux en passant par les sous-traitants fournisseurs de services. Ces contraintes s’appuient notamment sur les principes de « Privacy by Design » et « d’accountability ». Concrètement, cela signifie que chaque entreprise doit se doter d’une politique de protection des données globale en s’assurant, dès le moment de la conception, que le nouveau service qu’elle s’apprête à lancer sur le marché et qui va lui permettre de collecter des données est bien conforme à la réglementation.
Il s’agit de responsabiliser chaque acteur en l’obligeant à s’engager dans une démarche globale vertueuse visant à la protection de la vie privée. Et les sanctions elles-aussi se renforcent. Alors qu’il y a peu, la CNIL ne pouvait aller au-delà d’une amende de 150 000 euros, elle pourra dès mai 2018 infliger des sanctions pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires mondial… à bon entendeur.
Qui est concerné par le Règlement Général sur la Protection des données (RGPD) ?
Chaque citoyen européen aura la possibilité d’imposer l’application du RGPD et de faire valoir les droits et garanties qui l’accompagnent à toute entreprise (européenne ou non) qui collecte ses données. L’enjeu est de taille car il s’agit ici d’imposer notamment aux géants américains et asiatiques l’application des mêmes règles contraignantes que leurs plus modestes concurrents européens, dès que les données d’un citoyen européen sont collectées et traitées. TPE/PME, sociétés du CAC 40, banques, assurances, cybermarchands, SSII, fournisseurs de services SaaS, exploitants de MarketPlace, éditeurs d’applications mobiles ou autres dispositifs connectés, etc. Tous seront concernés par le RGPD dès lors que des traitements de données à caractère personnel sont effectués. Il est intéressant ici d’observer – car c’est une vraie révolution du Règlement – que l’on passe d’un système de responsabilité à la logique plutôt vertical (le responsable du traitement endossait une part quasi-totale du risque juridique) à un système de responsabilité plus horizontal qui place les responsables de traitements et leurs sous-traitants sur un même pied d’égalité vis-à-vis des sanctions pour non-respect de la réglementation.
Il convient également de préciser que le secteur privé n’est pas le seul concerné, l’ensemble du secteur public est également assujetti aux règles contraignantes du RGPD.
Comment être en conformité avec le Règlement Général sur la Protection des données (RGPD) ?
Se mettre en conformité avec le RGPD suppose de définir au niveau de l’entreprise une Gouvernance de la Data intégrant la brique juridique à chaque étape de la conception et du lancement de nouveaux services impliquant des traitements de données. Parmi les exemples de mesures nouvelles et déterminantes pour se prémunir contre d’éventuelles sanctions :
- Désigner un Délégué à la protection des données (DPO en anglais), pilier central de ces différentes mesures
- Renforcer son dispositif contractuel concernant les garanties de confidentialité
- Assurer en interne la mise en place d’un Référentiel Sécurité adéquat et mis à jour (Charte Utilisateurs des SI, Politique d’habilitation, Politique de gestion des incidents etc.)
- Réaliser des études d’impact.
Les études d’impact ont en effet vocation à se généraliser et visent les traitements dits « à risque ». Elles vont permettre aux responsables de traitements, comme aux fournisseurs de solutions permettant lesdits traitements, d’être en mesure de justifier du niveau de garantie proposé en termes de protection des données.
Différenciation concurrentielle, renforcement de la confiance des partenaires et clients, la nouvelle réglementation européenne pour la protection des données s’inscrit dans une logique vertueuse tant sur le plan économique que sur le plan de la protection de la vie privée. Définir une politique de protection des données constitue désormais, et sans aucun doute, un investissement clé pour favoriser un développement harmonieux de l’entreprise.