Pour commencer, voici le texte officiel du règlement RGPD 2018. Bon, d’accord, je l’admets, ce document est un peu compliqué à décrypter. Mais je suis justement là pour vous aider à y voir plus clair ! Allons-y !
Qu’est-ce que le RGPD (ou Règlement Général sur la Protection des Données) ?
Voté en 2016, le RGPD a pour objectif d’offrir aux Etats de l’Union Européenne un cadre renforcé et harmonisé en matière de protection des données personnelles. Ce nouveau règlement commun entrera en vigueur le 25 mai 2018.
Concrètement, cela change quoi pour nous utilisateurs ?
3 principes majeurs à retenir :
– La transparence et le consentement ;
– Le droit des personnes ;
– L’obligation de notification en cas de violation de la vie privée.
- La transparence et le consentement
Les entreprises devront dorénavant nous transmettre des informations claires et sans ambiguïté sur la façon dont nos données seront exploitées. À nous ensuite de leur donner notre accord ou notre refus quant à leur traitement. Terminées donc les cases pré-cochées, l’entreprise devra être capable de prouver à tout moment notre consentement.
- Le droit des personnes
En complément du droit d’accès, le droit à la portabilité nous permettra de récupérer nos données pour les réutiliser ou les transmettre à un tiers (un autre prestataire par exemple). Egalement, grâce au droit d’opposition, nous pourrons nous opposer, à tout moment, au traitement de nos données en cours. Pour finir, le droit à l’oubli obligera les entreprises à supprimer nos données, après leur en avoir fait la demande, dans un délai réduit à un mois.
- L’obligation de notification en cas de violation de la vie privée
Les entreprises seront tenues de nous prévenir dans un délai de 72h maximum en cas de violation de nos données. De plus, nous pourrons demander réparation des préjudices matériels et moraux engendrés par cette dernière.
Et du côté des entreprises ?
Le RGPD imposera 3 obligations majeures pour les entreprises :
– Limiter la collecte des données au strict nécessaire ;
– Obtenir et conserver le consentement des utilisateurs ;
– Sécuriser les données récoltées.
- Limiter la collecte des données au strict nécessaire
Les entreprises ne devront récolter que des informations personnelles nécessaires. Elles devront également limiter leur conservation à 12 mois.
Exemple : Je propose des formations pour apprendre à créer et animer sa page professionnelle Facebook. Si je demande, dans mon formulaire d’inscription en ligne, la date et le lieu de naissance des futurs participants, suis-je en conformité ? Et bien non puisque ces 2 informations ne sont à priori pas nécessaires pour effectuer une formation Facebook !
- Obtenir et conserver le consentement des utilisateurs
Les entreprises devront obtenir le consentement des utilisateurs dès la collecte de leurs données personnelles (adresse email, nom, prénom, date de naissance…).
- Sécuriser les données récoltées
La déclaration obligatoire à la CNIL va disparaître au profit d’un registre de traitement des données : l’entreprise devra garantir, à tout moment, que les process en place sont conformes et sécurisées. Elle devra donc recenser et consigner tous les traitements de données personnelles : collecte, stockage, utilisation, partage, destruction.
Que se passe-t-il en cas de non conformité ?
Les entreprises qui ne respecteront pas ces nouvelles dispositions risqueront des sanctions administratives allant du simple avertissement à une amende pouvant atteindre 20 millions d’euros ou 4% de leurs CA.
Le compte à rebours est lancé… plus que quelques semaines pour que les entreprises se mettent en conformité !
J’espère vous avoir éclairé sur le RGPD 2018 !
Pour aller plus loin, je vous invite à consulter le guide des bonnes pratiques proposé par la CNIL et Bpifrance, notamment destiné au TPE et PME.