La RGPD ou en GDPR (General Data Protection Regulation) en anglais est le Règlement Général sur la Protection des Données qui est entré en vigueur le 25 mai 2018. Un an et demi après son application, où en sommes-nous ? Les chiffres révèlent que de nombreuses entreprises ne sont toujours pas conformes. Pourtant les sanctions en cas de non-conformité se sont alourdies et peuvent aller jusqu’à 4% du CA annuel mondial. La principale raison de ce retard semble être le manque de connaissances, mais aussi et surtout, le manque de compétences. Toutefois, la mise en conformité est aussi l’occasion pour les entreprises de se restructurer, de réécrire leur gouvernance et d’améliorer leur image auprès de leurs clients afin d’en tirer un avantage concurrentiel.
Petit rappel
La réglementation RGPD a créé une telle effervescence dans l’écosystème des entreprises qu’elle pourrait sembler inédite en matière de protection des données. Or ce n’est pas le cas, certains droits étaient déjà d’actualité avant même l’entrée en vigueur de la RGPD comme en outre, le droit à l’oubli. De façon plus concrète, la réglementation RGPD vient homogénéiser et renforcer les droits des ressortissant européens. En effet, il s’agit d’un règlement qui s’applique et protège les droits des ressortissants à l’échelle mondiale. Peu importe où est stockée la data.
Cette directive admet 3 principes fondamentaux :
- Renforcer les droits de chacun en matière de protection des données
- Homogénéiser le droit européen
- Responsabiliser les sociétés
Qu’est-ce qu’une donnée à caractère personnelle ?
Tout d’abord, faisons un focus sur ce qu’est une donnée à caractère personnelle. Selon la CNIL (Commission Nationale d’Informatique et des Libertés) une donnée à caractère personnelle est « toute donnée permettant d’identifier directement ou indirectement un citoyen européen ». Il peut s’agir d’une donnée à accès directe ou indirecte. Une donnée à accès direct désigne une donnée qui permet directement d’identifier l’individu comme par exemple son nom et son prénom. Tandis qu’une donnée à accès indirect désigne une donnée qui permet d’identifier une personne en la croisant avec une autre source d’information comme par exemple, un numéro de téléphone via un annuaire inversé. Comme toutes les entreprises, vous disposez de données à caractère personnelles. Qu’il s’agisse de celles de vos clients, celles de vos prospects ou même celles de vos employés, vous avez de nombreuses obligations à respecter. Mais par où commencer ?
Cartographiez toutes les données concernées
Le point de départ de votre parcours vers une conformité RGPG est la cartographie de toutes les données que vous possédez. Afin de les protéger, encore faut-il savoir où elles se trouvent et quels traitements elles subissent au sein de votre système informatique. Il vous faudra réaliser un long travail de recherche et d’investigation. Cette cartographie est nécessaire afin de cibler TOUS les risques qui existent avec certaines données. Sans cette cartographie, il n’est pas possible d’être en conformité avec la RGPD. Le registre de toutes ces données vous permettra d’établir un PIA (Privacy Impact Assessment). Il s’agit de l’analyse d’impact relative à la protection des données mis à la disposition des structures par la CNIL. Cette étude permet d’évaluer les risques en cas de fuite de données notamment. Le PIA vous indique un résultat, et en fonction de ce dernier vous pourrez effectuer les ajustements nécessaires en matière de sécurité. Evidemment, il est indispensable de maintenir à jour cette cartographie et de l’alimenter au fil du temps.
Désignez un DPO
DPO qui vient de l’anglais Data Protection Officer, est une personne en charge de la protection des données personnelles traitées par un organisme (administration, entreprise…). Il s’agit d’un des nouveaux métiers du digital porté par le RGPD. Il fait appel à des compétences techniques et juridiques. L’article 37 de la RGPD explicite les différentes situations où la nomination d’un DPO est obligatoire dans une structure.
En cas :
- D’opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées
- D’un traitement à grande échelle de catégories particulières de données visées à l’article 9 (qui regroupent des données « sensibles » : origines raciales ou ethniques, convictions politiques ou religieuses, etc.) et de données personnelles liées à des condamnations pénales et à des infractions visées à l’article 10.
En clair, la nomination d’un DPO peut être obligatoire ou réellement conseillée en fonction du cadre de traitement de données, de la gestion ou du stockage de données sensibles ou médicale. Toutefois, elle est obligatoire dans le secteur public. Les tâches du DPO sont variées c’est pourquoi il doit faire preuve de polyvalence.
Les différentes tâches d’un délégué à la protection des données :
- Informer et conseiller le responsable du traitement, le sous-traitant et les employés de l’organisation afin de se conformer au mieux au RGPD et aux autres lois de protection des données
- Contrôler le respect du RGPD au sein de l’organisation
- Gérer les processus de protection des données en internet
- Former le personnel concerné
- Réaliser des audits
- Réaliser une analyse d’impact sur la protection des données
- Coopérer avec l’autorité de contrôle
- Gérer les demandes des personnes concernées concernant la protection des données, le retrait de consentement, le droit à l’oubli et autres.
La conformité RGPD : Un avantage concurrentiel ?
De plus, la mise en conformité permet aux sociétés d’améliorer leur image auprès de leurs clients. Pour certaines sociétés, il s’agirait là même d’une réelle opportunité commerciale. D’une part, cela permet de mieux gagner la confiance de ses clients. Et d’autre part, la mise en conformité permet de mieux connaitre ses clients et donc d’optimiser ses différentes opérations commerciales. Enfin la RGPD permet aux entreprises d’optimiser leurs coûts de stockage. Grâce à la cartographie des données, les sociétés sont en mesure de déterminer les données qu’il n’est pas nécessaire de conserver. Plusieurs sociétés ont bien saisi l’opportunité de la RGPD. C’est le cas notamment de Capgemini qui ont récemment communiqué à ce sujet. Les entreprises ont donc tout intérêt à être pro-actives et tirer parti de cette réglementation.
Des sanctions record !
L’ICO (Information Commissioner’s Office) du Royaume-Uni, l’équivalent de la CNIL, a déjà infligé une amende record de 183 millions de livres sterling à British Airways (plus de 206 millions d’euros) pour sanctionner ce qu’il a qualifié de « mauvais dispositifs de sécurité », ayant entraîné le vol de données personnelles de 500 000 clients lors d’une cyber-attaque révélée en septembre 2018.
En France, La CNIL a infligé à Google sa toute première amende au titre du RGPD le 21 janvier 2019 : 50 millions d’euros. Il s’agit d’un record historique puisqu’avant l’entrée en vigueur de la RGPG le montant maximal d’une amande de la CNIL s’élevait à 150 000 euros.
Vous l’aurez compris, la RGPD a permis d’alourdir lourdement les sanctions encourues en cas de fraude. C’est pourquoi cette directive marque un véritable tournant en matière de protection des données à caractère personnelle.
13 rue des Aulnes