Le RGPD : les nouvelles règles relatives aux données personnelles

Avec la digitalisation des entreprises, l’explosion des mégadonnées numériques (big data), ainsi que le développement de l’intelligence artificielle, le règlement général sur la protection des données (RGPD), venant tout droit de Bruxelles, entrera en vigueur le 25 mai en France, comme dans tous les pays de l’Union. Et ce à l’heure où la protection des personnes physiques et la libre circulation de leurs données à caractère personnel sont devenues des sujets très sensibles. Comme en témoigne l’affaire de la société britannique de communication stratégique et d’analyse de données Cambridge Analytica, accusée d’avoir exploité des données personnelles de millions d’utilisateurs à leur insu. Comme en témoigne aussi la toute récente audition (liée à cette affaire), devant le Congrès américain, du président-directeur général de Facebook, contraint de préciser le niveau de protection des données privées des utilisateurs de son réseau social, et à être plus transparent sur ses outils et ses pratiques.

Dans l’Hexagone, les entreprises, quelle que soit leur taille, les organismes publics et tout acteur traitant des données personnelles de citoyens européens devront donc les sécuriser et se mettre en conformité avec ce nouveau règlement. Les entreprises libérales ayant une clientèle devront être plus transparentes sur le traitement des données à caractère personnel des personnes physiques issues de leurs fichiers clients et/ou de leurs collaborateurs. Pour certains experts comme Gilles Babinet, digital champion de la France auprès de la Commission européenne, cela tombe à pic : « Cette affaire de Facebook et de Cambridge Analytica va dans le sens des Européens… On ne peut pas faire n’importe quoi avec les données personnelles », dit-il dans une interview du magazine L’Usine nouvelle, publiée début avril¹. Selon cet expert, ce règlement met en avant les droits des individus à l’ère numérique, ainsi que l’idée d’une harmonisation de la réglementation concernant les données personnelles des citoyens de l’Union.

Pour les petites et moyennes entreprises qui doivent se mettre en conformité avec ces nouvelles règles de protection et de sécurité des données, c’est une autre affaire !

Quel est l’objectif du RGPD ?

Le texte de ce règlement adopté en 2016 (2016/679) par le Parlement européen et le Conseil de l’Union européenne concerne toutes les entreprises détentrices de données privées collectées (nom, prénom, adresse postale et électronique, etc.). Le but est d’accroître les droits des citoyens européens concernant la protection de leur vie privée. L’idée est aussi d’apporter davantage de transparence et de contrôle aux citoyens sur leurs données personnelles et sensibles et sur leur utilisation ou leur exploitation par des entreprises tierces (du marketing et de la publicité, par exemple).

Ce texte, qui encadrera les acteurs exploitant les données personnelles, prévoit des sanctions pour toute violation des droits de la personne physique.

« Le présent règlement vise à contribuer à la réalisation d’un espace de liberté, de sécurité et de justice et d’une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au sein du marché intérieur, ainsi qu’au bien-être des personnes physiques », peut-on lire dans le texte du RGPD sur le site de l’Union européenne ou sur le site de la Commission nationale de l’informatique et des libertés (Cnil).

De quelles données s’agit-il ?

Sont concernées les données personnelles relatives à une personne physique identifiée par référence à un numéro d’identification ou à des éléments qui lui sont propres (allant du nom, de l’adresse postale d’une personne à sa carte de visite).

Quel est le rôle du RGPD ?

Le RGPD modifie la loi informatique et libertés et allège les formalités obligatoires auprès de la Cnil. De plus, il accroît les droits des citoyens européens, qui disposent d’un droit à la portabilité et d’un droit à l’oubli. Ensuite, il demande un consentement exprès de la personne concernée pour le traitement de ses données à caractère personnel. Enfin, il prévoit des sanctions financières en cas de manquement au règlement.

Quelles sont les obligations des entreprises ?

Le responsable du traitement des données (l’employeur) devra :

- respecter le principe de protection des données personnelles et de la vie privée ;

- avoir une vision globale du traitement des données pour les structures de plus de 250 salariés ;

- pouvoir prouver que le traitement des données à caractère personnel mis en œuvre respecte le règlement ;

- notifier les violations de données personnelles à l’autorité compétente en France, la Cnil, ainsi qu’au salarié ;

- réaliser une étude d’impact sur la vie privée ;

- désigner un délégué de la protection des données (DPO) pour les organismes publics et les entreprises traitant des données sensibles ;

- vérifier que les personnes sont informées de la durée de conservation des données ;

- permettre aux personnes d’exercer leur droit à l’oubli, à la portabilité des données, de limitation.

Que se passe-t-il en cas de non-respect des règles ?

Des amendes administratives sont prévues en cas de non-respect du règlement. Celles-ci peuvent se chiffrer jusqu’à 4 % du chiffre d’affaires annuel mondial pour les grandes entreprises, pour un manquement au droit, ou s’élever à 20 millions d’euros. Selon la Cnil, les sanctions seront graduées et renforcées. Il pourra y avoir un avertissement, suivi d’une mise en demeure de l’entreprise, puis la limitation d’un traitement, l’exigence de la suspension des données hors d’Europe ou l’ordre de satisfaire aux demandes d’exercice des droits des personnes. Sont prévues également des sanctions pénales, notamment lors de non-respect des formalités préalables prévues par la loi informatique et libertés relative à l’obligation de sécurité, de détournement de la finalité des données personnelles ou d’absence d’information des personnes concernées.
•

¹ bit.ly/2qqPHbB.