A partir du 25 mai 2018, une nouvelle règlementation concernant les données personnelles s’applique. Il s’agit du Règlement Européen sur la Protection des Données (RGPD), qui vise à renforcer les droits des personnes envers leurs données.
Le RGPD : c’est quoi ?
Ce règlement européen reprend de nombreuses règles déjà présentes dans la loi française Informatique & Libertés et s’enrichit de nouvelles, issues d’une harmonisation européenne. A l’heure des géants d’internet et du big data, il était essentiel pour les pays européens de faire front en édictant des règles de sécurité communes sur les données personnelles, sur le territoire européen.
Le principe du RGPD est la responsabilisation des entreprises. La méthode est laissée libre mais toute entreprise doit pouvoir démontrer à tout moment le respect de ses principes (via la documentation notamment).
La déclaration CNIL devient obsolète.
A qui s’adresse le RGPD?
Il existe 3 critères cumulatifs pour déterminer si vous êtes impacté par le RGPD :
1 – Les données doivent être personnelles, donc en lien avec une personne physique, dans un cadre professionnel (ex : données RH d’une entreprise) ou personnel (ex : données de vos clients particuliers). La vigilance doit être renforcée pour les données sites sensibles (religion, politique, santé…).
2 – Ces données doivent faire l’objet de traitements. Soit toutes sortes d’utilisation, automatisée ou non (voir ici quelques exemples). Dans ce cas, un responsable de traitement doit être clairement identifié.
3 – Ces données personnelles doivent être traitées sur le territoire européen.
Quels risques si je ne fais rien ?
Risque réputationnel, risque civil et prud’hommal, risque technologique, risque pénal, risque administratif… A vous de choisir !
Dans ce domaine, les amendes administratives les plus lourdes peuvent s’élever jusqu’à 20 millions d’euros/ 4% du chiffre d’affaires annuel mondial.
Le RGPD répond à un risque réel pour les entreprises (par exemple : vol de données).
Mais des données conformes auront également un poids renforcé en cas de litige, par exemple avec un salarié.
Au-delà du risque, la conformité au RGPD peut également se transformer en atout commercial : des données “propres”, bien protégées, stockées en sécurité et bien gérées peuvent être valorisées commercialement.
En pratique, je fais quoi ?
Plusieurs cabinets d’avocats et prestataires informatiques se sont spécialisés dans l’accompagnement à la mise en conformité RGPD.
Selon la taille de votre entreprise et les enjeux liés à ces données, vous pourrez également mettre en place par vous même un certains nombre d’outils, comme par exemple :
- un registre des données personnelles (voir un modèle fourni par la CNIL)
- la révision de vos documents pour tenir compte des nouvelles règles (clauses de contrats de travail, contrats de sous-traitance marketing…)
- une politique écrite de sécurité informatique et une politique de conservation des données
- des notes internes pour informer vos salariés
- la sensibilisation de vos managers à la protection des données…
A noter que certains organismes ont l’obligation de se doter d’un DPO (Délégué à la Protection des données personnelles) : organismes publics, organismes traitant de grands volumes de données, ou des données sensibles.