Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen entré en vigueur le 25 mai 2018. Cette directive concerne l’ensemble des entreprises et des administrations qui sont dans l’obligation de s’y conformer afin de répondre à son objectif de protéger les citoyens européens au niveau de leurs données personnelles. Plus de détails sur le sujet avec AlgoSecure, société spécialisée en sécurité informatique.
Petit rappel sur le RGPD et ses enjeux pour les entreprises
La Commission Nationale de l’Informatique et des Libertés (CNIL), qui est l’autorité nationale de contrôle de l’application du RGPD, a définit la donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Le traitement des données intervient « dès lors qu’il est possible de remonter à une personne physique déterminée en se basant sur ces informations ».
La CNIL a déterminé le cadre du RGPD en fixant 4 principes à respecter, à savoir :
- Le consentement : il est nécessaire d’obtenir le consentement écrit de la personne pour la récolte et le traitement des données la concernant ;
- Le droit à l’effacement : il est possible de demander l’effacement de données en cas d’atteinte à la vie privée ;
- La finalité : les données collectées doivent l’être uniquement dans un but précis ;
- La confidentialité et la sécurité : l’organisme collecteur des données doit garantir qu’elles sont protégées, comme contre la perte ou le traitement non autorisé.
Pour mettre en place les mesures nécessaires afin de se conformer au RGPD, les entreprises ont pu bénéficier d’un accompagnement RGPD, c’est à dire se faire aider par des entreprises maîtrisant tous les tenants et les aboutissants de cette nouvelle réglementation. De nouveaux métiers sont apparus comme le data protection officer, ou délégué à la protection des données (DPO ou DPD). Les entreprises ont également dû, soit intégrer au sein de leur équipe un responsable RGPD afin de contrôler sa bonne application, soit externaliser la fonction DPO.
Les mesures à respecter et les risques encourus
Il faut prendre conscience que les entreprises n’étant pas en conformité avec le RGPD s’exposent à de sévères sanctions : la CNIL prévoit en effet une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel de l’exercice précédent ! Il est ainsi plus qu’urgent que les entreprises se fassent accompagner pour connaître précisément les points du RGPD et se mettent en conformité avec les différentes directives. Les cas de figure sont en effet multiples et nombreux, et il n’est pas toujours évident de savoir quel point mettre en place, et dans quelles conditions.
En cas de hacking, ou de perte de données, il est obligatoire que l’entreprise répertorie en interne tout incident, et le déclare dans les 72H. De même, les entreprises doivent désormais faire preuve de grande vigilance lors d’envoi d’e-mailings, si les consentements n’ont pas été obtenus, de manière libre et éclairée. Enfin, en cas de demande de consultation ou rectification des données personnelles récoltées, l’entreprise a 30 jours pour donner suite.