News
données personnelles Confidentialité Vie privée données entreprise

RGPD 2018 : Qu'est ce qui change réellement pour les entreprises ?

Recevoir la newsletter

Adopté définitivement le 14 avril 2016, après 4 ans de réflexions et de négociations législatives, le nouveau règlement européen sur la protection des données (RGPD), entrera en vigueur le 25 mai 2018.

En tant que règlement, ce dernier n’a pas besoin d’être transposé dans le droit national pour être valable ; il est d’application directe. Cette nouvelle législation constitue un cadre unique pour la protection des données personnelles des ressortissants européens, tant sur le territoire de l’Union Européenne, qu’en dehors. Au-delà de l’uniformisation des démarches et obligations, le RGPD prend en compte les impacts du numérique sur les données personnelles.

Il reste donc moins d’un an aux entreprises pour se mettre en conformité avec cette règlementation. Quels en  sont les points clés ?

Responsabilisation des entreprises et des sous-traitants

Identifier tous les traitements de données personnelles

Premier changement notable avec le RGPD : la déclaration obligatoire à la CNIL disparaît au profit de la tenue systématique d’un registre de traitements des données. Cela est lié au principe d'accountability qui fait que l’entreprise doit garantir, à tout moment, que les process en place sont conformes, sécurisés et garantissent la confidentialité des données. Il répond ainsi à un double enjeu de traçabilité et de transparence, essentiels à la confiance.

Cela va donc impliquer de recenser et consigner tous les traitements de données personnelles au sein de l’entreprise. Les traitements correspondent à tout processus de collecte, de stockage, d’utilisation, de partage ou encore de destruction des données. Sont qualifiées données à caractère personnel toutes celles qui se rapportent à une personne physique identifiée ou identifiable.

Le règlement européen prévoit également d’étendre la majeure partie de ces obligations aux sous-traitants. Ces derniers, même s’ils sont basés en dehors de l’UE, devront être en mesure de prouver leur conformité à partir du moment où ils traitent des données liées à un citoyen de l’Union Européenne. Ainsi choisir un prestataire qui offre déjà des produits ou services répondant aux exigences du RGPD, facilitera la mise en conformité de l’entreprise.

telecharger-checklist-rgpd

Lutter contre les risques impactant la vie privée des utilisateurs

Autre point clé du RGPD : l’identification des traitements à risques pour la vie privée des personnes. Dès le moment, où ce type de traitement est détecté, l'entreprise devra mener une étude d’impact sur la vie privé ou PIA (Privacy Impact Assessment). Cela consiste à clairement décrire le traitement en question et en évaluer les risques, puis de mettre en place des actions en vue de garantir une sécurité maximale.

Enfin, les principes de privacy by design et by default sont au coeur de ce changement et deviennent la norme. Le premier doit garantir le plus haut niveau de confidentialité et sécurité des données dès la conception d’un nouveau process ou service requérant un ou plusieurs traitements de données personnelles. Le second consiste à assurer la protection de la vie privée des utilisateurs du produit ou service. Cela comprend l’obligation de portabilité des données, le droit à modification et à effacement des données ainsi que l’obligation du consentement pour le traitement des données. Les paramètres de confidentialité maximale doivent désormais être pré-cochés. Il est  néanmoins laissé la possibilité à l’utilisateur de modifier les paramètres de confidentialité (localisation, par exemple), tout en le notifiant des dangers encourus par ce changement.

Désigner un Data Protection Officer (DPO)

Pour guider l’entreprise dans son chantier de mise en conformité au RGPD, le DPO (Data Protection Officer, anciennement CIL, Correspondant Informatique & Libertés) constituera un atout majeur. En effet, il se pose en pilote de la gouvernance des données et dispose de compétences juridiques et techniques très poussées. Ce dernier pourra être accompagné, en tant qu’interlocuteur privilégié de la CNIL, dans la mise en place de ses actions. Sa désignation est obligatoire pour les organismes du secteur public et les sociétés traitant des données sensibles (banque, santé, par exemple) et / ou en masse (transport, par exemple). Dans les autres cas, son recours est vivement recommandé, d’autant plus que le DPO peut être externe.


Objectif : transparence et respect des droits des personnes

Un autre aspect essentiel du GDPR (General Data Protection Regulation, traduction de RGPD) est la transparence. Elle se concrétise par de nouveaux droits pour les personnes et la réaffirmation du consentement. Quelles sont les nouveautés ?

Jouer la transparence sur les traitements de données personnelles

Les utilisateurs doivent systématiquement pouvoir donner leur accord ou pouvoir refuser. Ils doivent également être informés de façon claire et intelligible de l’utilisation qui sera faites de leurs données. Finies les cases pré-cochées, l’entreprise devra être capable de prouver à tout moment le consentement d’une personne

De nouveaux droits en matière de données à caractère personnel

Le droit à la portabilité et le droit à l’oubli offre la possibilité aux utilisateurs de disposer quand il le souhaite de toutes les données collectées par l’entreprise à leur sujet. Ils peuvent ainsi demander leur destruction ou les obtenir afin de les transmettre, s’il le souhaite, à une entreprise tierce. De plus les droits des mineurs de moins de 16 ans sont précisés et requiert impérativement l’accord d’un représentant légal

L’obligation de notification en cas de violation de la vie privée

En cas de violation de la vie privée, les entreprises sont tenues de notifier sous 72h maximum la CNIL ainsi que les personnes dont les données auraient été soumises à une violation. De plus, les utilisateurs pourront demander réparation des préjudices matériels et moraux engendrés par cette dernière



Comme toute nouvelle règlementation, le RGPD peut paraître comme un ensemble de contraintes. Cependant, la mise en conformité représente un enjeu stratégique pour l’entreprise. Elle contribue à renforcer le capital confiance de la marque vis-à-vis de ses clients, prospects, partenaires, salariés. Elle est aussi l’occasion de renforcer la sécurité des données de l’entreprise qui constitue aujourd’hui un véritable patrimoine immatériel. Et indéniablement celles qui mettront en avant leur compliance, bénéficieront d’un avantage concurrentiel.

telecharger-checklist-rgpd