Scroll to top

RGPD : Quels changements ?

QUELLES ENTREPRISES SONT CONCERNÉES PAR LA RGPD ?

Depuis le 25 mai, sont concernées toutes les entreprises privées et publiques des 28 États membre de l’Union Européenne, plus particulièrement :

  • Les entreprises proposant des biens et services sur le marché de l’UE ;
  • Les entreprises collectant des données à caractère personnel sur les résidents de l’UE.

A noter que le règlement s’appliquera également aux entreprises non implantées en UE, dès lors qu’elles collectent et traitent des données personnelles sur des résidents de l’UE.

La RGPD a été conçue afin d’adapter et de moderniser le cadre juridique en matière de protection des données à ces évolutions technologiques. Plus largement, elle a pour ambition de redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises.

Le nouveau règlement européen sur la protection des données est entré en vigueur le 25 mai 2018 est impacté toutes les entreprises faisant du traitement de données. La RGPD impose un nouveau mode de gouvernance de la data (passage d’une logique quantitative à une logique qualitative, Privacy By Design, etc.) et crée de nouvelles obligations pour les entreprises.

Quels sont les principaux impacts de le RGPD pour les entreprises ? Quels sont les principaux changements à anticiper au niveau organisationnel et technique ?

LES 4 PRINCIPES CLÉS DU RGPD

L’aménagement de la RGPD s’articule autour de 4 principes clés : le consentement, le droit des personnes, la transparence et la responsabilité.

LE CONSENTEMENT

La RGPD intensifie la notion de consentement. Depuis le 25 mai 2018, le consentement des individus quant à la collecte et au traitement des données à caractère personnel les concernant devra être explicite. Il pourra être retiré à tout moment par les individus le demandant. Les entreprises faisant du traitement de données devront, par ailleurs, être en mesure de prouver le recueil de ce consentement le cas échéant (en cas de contrôle de la CNIL).

Une distinction doit être faite entre le B2B et le B2C concernant les règles du consentement relatif aux sollicitations par email.

Pour les entreprises B2B, la collecte du consentement n’est pas obligatoire si la finalité de la collecte est bien respectée. En revanche, le consentement est obligatoire pour des sollicitations par des tiers (filiales, partenaires…).

Les entreprises B2B collectant de la donnée B2C devront veiller à bien séparer les modes de collecte suivant qu’il s’agit de données B2B ou de données B2C.

La RGPD a aussi des conséquences dans le mode de gestion des cookies, elle impose la mention des informations suivantes : la finalité du cookie, le droit d’opposition de l’utilisateur et l’acceptation implicite de l’utilisateur si celui-ci décide de poursuivre sa navigation. Autre conséquence, depuis mai 2018, aucun cookie ne pourra être déposé si l’utilisateur rebondit sur la page sauf les cookies nécessaires au bon fonctionnement du site.

Toujours le consentement, la RGPD prévoit une autre évolution majeure : l’encadrement du profilage. Le règlement n’interdit pas cette pratique, mais renforce son encadrement. Il impose notamment le recueil d’un consentement explicite de la part des personnes par le biais de case à cocher. Le profilage sera par ailleurs soumis à compter de mai 2018 au droit d’opposition.

LA TRANSPARENCE

La transparence est le deuxième grand principe mis en avant dans la RGPD. Elle s’articule au consentement, dans la mesure où la transparence est la condition de possibilité d’un consentement explicite. Les entreprises devront et ce dès la phase de collecte fournir aux individus des informations claires et sans ambiguïtés sur la manière dont leurs données seront traitées. Ces informations devront être fournies de façon concise, compréhensive et accessible par tous.

LE DROIT DES PERSONNES

La RGPD se donne pour objectif de renforcer les droits des personnes et le contrôle des personnes sur les données à caractère personnel les concernant. La RGPD redéfinit des droits déjà existants et en consacre de nouveaux :

  • Droit d’information: Ce droit résulte du renforcement des exigences en matière de transparence sur la finalité de la collecte et la nature des traitements sur la finalité de la collecte et la nature des traitements.
  • Droit d’accès :En vertu de l’article 15, toute personne, aura le droit d’obtenir la confirmation que ses données sont traitées ou non, et d’accéder à ses données traitées. Ce droit découle aussi du principe de transparence. Les entreprises devront mettre en place des dispositifs, des interfaces et des outils permettant de garantir le droit d’accès, en facilitant l’accès des utilisateurs aux données.
  • Droit de rectification :La possibilité d’obtenir que les données inexactes soient rectifiées, et les données incomplètes complétées. Cela implique des changements organisationnels du côté des entreprises, pour garantir ce droit dans les meilleurs délais.
  • Droit à l’oubli: La demande d’effacement de ses données après avoir retiré son consentement. Si le responsable des traitements a rendu les données publiques, il devra informer les autres responsables des traitements et leur demander de les effacer
  • Droit à la portabilité :Donne à toute personne le droit, dans certains cas, de recevoir, dans un format structuré et facilement utilisable, les données la concernant, afin de les transmettre, le cas échéant, à un autre responsable des traitements.
  • Droit d’opposition :permet à la personne de s’opposer au traitement des données la concernant.

Les entreprises doivent mettre en place des procédures et des outils permettant l’exercice de ces droits. Ce qui implique des changements organisationnels et techniques plus ou moins importants selon l’état de la gouvernance des données des entreprises.

LA RESPONSABILITÉ

La RGPD vise à responsabiliser davantage les entreprises dans leur traitement des données à caractère personnel. Cela se traduit par :

  • L’obligation faite aux entreprises de documenter toutes les mesures et procédures en matière de sécurité des DCP (Données à Caractère Personnel) :Les entreprises doivent être en mesure de démontrer leur conformité avec la réglementation en cas de contrôle de la CNIL. Cette mesure se traduit par l’obligation de tenue d’un registre des traitements qui permettra de constituer une base de données des traitements, mais pourra aussi servir à centraliser et à suivre toutes les démarches de conformité mises en œuvre par l’entreprise.
  • Le renforcement des mesures de sécurité :Les entreprises sont responsables de la sécurité des données qu’elles traitent et doivent mettre en place les mesures adéquates pour la garantir (pseudonymisation des données, analyses d’impact, tests d’intrusion…).
  • L’encadrement des sous-traitants :Les entreprises devront choisir des sous-traitants présentant des garanties suffisantes. En cas de faille de sécurité au niveau du sous-traitant, ce sera l’entreprise cliente qui sera tenue pour responsable. En conséquence, les entreprises doivent revoir les contrats signés avec les sous-traitants en intégrant des clauses concernant les DCP. La RGPD instaure en fait un régime de co-responsabilité des sous-traitants.
  • La notification en cas de faille de sécurité :Les entreprises ont pour obligation de mettre en place des actions en cas de violation de sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée de DCP. En cas de faille de sécurité, l’entreprise devra le notifier à la CNIL dans un délai de 72h. Les personnes physiques concernées devront être informées si la faille ou la violation de données comporte un risque élevé pour les droits et libertés.
  • L’obligation de désignation d’un DPO (Délégué à la Protection des Données) : il sera en charge de piloter la gouvernance des données, de contrôler la conformité de l’entreprise avec la RGPD et de conseiller le responsable des traitements. Cette obligation de désignation d’un DPO ne s’applique qu’aux entreprises réalisant des traitements sur des données sensibles et / ou à grande échelle.
  • La suppression de l’obligation de déclaration préalable à la CNIL : Cette mesure traduit le principe qui gouverne la RGPD : responsabiliser les entreprises, en développant l’auto-contrôle.

En bref, L’application du RGPD va imposer aux entreprises de modifier considérablement leur gestion des données personnelles pour garantir une conformité, une sécurité et une confidentialité. Le traitement des données personnelles devra désormais être recensé et consigné au sein même de l’entreprise, a travers le fameux Registre des traitements des donnees personnelles.

Obtenez le guide directement dans votre boîte e-mail





Obtenez le guide RGPD