RGPD : nouvel enjeu pour les entreprises

Adopté le 24 mai 2016 par l’Union Européenne, le Règlement Général sur la Protection des Données (RGPD) sera applicable dès mai 2018.

Le projet européen en faveur de la protection des données personnelles marque un réel tournant dans la gestion et l’exploitation de ces informations par bon nombre d’organisations. Elles ont désormais un délai d’un an pour se conformer au nouveau règlement.

Le RGPD n’a tout d’abord pas pour frontières celles de l’Union Européenne, puisqu’il s’applique à toute donnée en lien avec un résident européen. Les organisations concernées devront se soumettre à de nouvelles obligations relatives à la collecte, la gestion et l’exploitation des données personnelles. Par exemple, la déclaration préalable de traitement de données à la CNIL sera remplacée par la création d’un registre : celui-ci devra recenser les mêmes informations que la déclaration, à la seule différence que le processus de contrôle et de validation sera inversé. Si aujourd’hui c’est la CNIL qui doit apporter la preuve d’un manquement à la réglementation, à partir du 25 mai 2018, l’entreprise devra au contraire démontrer qu’elle est bien en situation de régularité. Une bonne raison pour les entreprises d’enclencher dès à présent leur mise en conformité.

Autre mesure : le « privacy by design » qui imposera aux exploitants la prise en compte du respect de la vie privée dès la conception d’un projet, qu’il s’agisse d’une application ou d’un système d’information. Les développeurs seront donc directement concernés par ces nouvelles problématiques : par exemple, la gestion du consentement de l’utilisateur qui doit être clairement exprimé pour chaque typologie de données (contacts, données de géolocalisation…) ou la pseudonymisation qui doit préserver l’anonymat de l’utilisateur. La récolte de données devra également être limitée aux informations nécessaires pour l’utilisation du service proposé.

Cette nouvelle loi prévoit également que chaque entreprise qui collecte et traite des données devra faire appel aux services d’un « Data protection officer » (DPO). Pas d’obligation de création de poste pour les TPE / PME qui pourront recourir aux services d’un consultant.

Enfin, en cas de violation des données, l’organisation aura un délai de 72 heures après avoir détecté la fraude pour alerter les autorités compétentes.

En cas de non-conformité à ces obligations, le RGPD prévoit également des sanctions plus lourdes. En cas de violation du règlement, les entreprises risquent une amende pouvant aller jusqu’à 20 millions d’euros ou jusqu’à 4 % de leur chiffre d’affaires annuel.