Soyons clair #9: Qu’est-ce que le RGPD ?

25.10.2017

La nouvelle législation européenne RGPD entend mieux protéger la vie privée du citoyen. Qu’est-ce que cela signifie concrètement ? Quel en sera l’impact sur les utilisateurs et les entreprises ? Bref aperçu des grands principes.

1. Qu’est-ce que le RGPD?

RGPD désigne le règlement général pour la protection des données  (en anglais, GDPR General Data Protection Regulation et en néerlandais AVG, Algemene Verordening Gegevensbescherming). Ce règlement européen remplace la directive sur la protection des données 95/46/EC de 1995.

Le but est de mieux protéger la vie privée du citoyen et d’appliquer les mêmes règles à l’ensemble de l’Union européenne. D’une part, le citoyen pourra mieux contrôler la manière dont ses données personnelles sont utilisées ; d’autre part le RGPD établit une structure légale claire, une norme applicable partout en Europe afin que les entreprises  sachent comment elles doivent traiter les données de manière à protéger la vie privée.

Plus d'informations sur les principes du RGPD.

2. A qui s’applique le RGPD ?

Toute entreprise, toute organisation privée ou publique qui collecte et traite des données à caractère personnel de citoyens européens doit appliquer le RGPD, quel que soit le pays où cette entreprise ou organisation se situe. Une société américaine qui travaille avec des données d’utilisateurs européens est donc elle aussi tenue de respecter ces règles. Le RGPD s’applique également aux magasins physiques ou en ligne qui collectent les adresses de leurs clients pour les informer régulièrement, par mail ou par la poste.

Ce qui est important ici, c’est la définition de la notion de données à caractère personnel. La réglementation parle de PII ou Personal Identification Information. Il ne s’agit pas seulement de votre nom, de votre adresse, du numéro de votre carte d’identité, de votre numéro de registre national ou de votre date de naissance ; sont également concernées des données numériques telles que lieu, adresse IP, données des cookies, tags RFID.  Les données relatives à la santé font aussi partie du périmètre du règlement, de même que toutes données génétiques, biométriques, raciales, ethniques ou liées au genre ou à l’opinion politique.

3. Quand le RGPD entrera-t-il en vigueur ?

Cette nouvelle réglementation européenne entrera en vigueur le 25 mai 2018 dans tous les états membres. Les gouvernements de chaque état ne doivent pas introduire de législation complémentaire : le RGPD est applicable directement et engage directement les états membres.

4. Comment préparer votre entreprise au RGPD?

  • Parcourez vos processus d’entreprise
  • Vérifiez quelles données vous collectez et comment vous les enregistrez. Disposez-vous des preuves d’autorisation nécessaires de l’utilisateur ? Le traitement de données est-il couvert par un des cas d’exception ne nécessitant pas d’autorisation explicite ?
  • Etablissez un registre de la manière dont vous traitez les données.
  • Effectuez une évaluation des risques : qu’est-ce qui pourrait ‘mal tourner’ et comment l’éviter?
  • Définissez une procédure applicable en cas d’incident (infraction, fuite... entraînant l’exposition des données). Testez cette procédure.
  • Elaborez un processus de surveillance permanente : la conformité de votre entreprise au RGPD doit être garantie dans le temps.

5. Que se passe-t-il si vous ne respectez pas le RGPD ?

Ne jouez pas avec le feu ! Si vous pensez que rien ne peut vous arriver et que vous allez continuer à envoyer vos mails publicitaires à la liste d’adresses que vous avez achetée sous le manteau... cela risque de vous coûter très cher.

Les amendes prévues par le RGPD sont ‘salées’ et peuvent atteindre 4% du chiffre d’affaires mondial de votre entreprise,  avec un plafond de 20 millions d’euros. Vous avez donc tout intérêt à prendre le RGPD au sérieux. Cela vous demandera beaucoup de travail, surtout au début, mais le gros avantage est que le RGPD s’applique à l’ensemble de l’Europe  et que le travail consiste à se mettre en ordre par rapport à une seule législation de respect de la vie privée applicable à tous les pays de l’UE!

Plus d’info auprès de la Commission Vie privée qui a également établi un modèle de registre pour les activités de traitement. 

 

Internet business