Le nouveau Règlement Européen sur la Protection des Données Personnelles s’appliquera à partir de vendredi 25 mai 2018. Ce texte permet aux membres de l’Union Européenne de s’adapter aux évolutions du digital et du numérique et d’harmoniser la législation entre tous ces pays.
Le RGPD c’est quoi ?
Le Règlement Général sur la Protection des Données (RGPD) est un texte communiqué par le journal officiel de l’Union Européenne qui permet d’établir les règles assurant la protection des données des utilisateurs sur internet pour tous les états membres et qui détermine les droits des consommateurs.
La présente réforme poursuit trois objectifs :
- renforcer les droits des personnes par le biais d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures
- responsabiliser les acteurs traitant et utilisant des données utilisateurs
- crédibiliser la régulation en renforçant les sanctions et la coopération entre les différentes autorités de protection des données
Comment le mettre en place ?
Le RGPD s’applique pour l’utilisation des données dites “personnelles”, soit toutes informations qui permettent d’identifier l’utilisateur : nom, prénom, date de naissance, adresse mail, ADN, numéro de sécurité sociale…
Les informations personnelles de vos clients devront être chiffrées directement à partir de la base de données. Il est primordial que la sécurité s’applique automatiquement et par défaut (Privacy by Design).
Au sein de chaque entreprise, une personne, interne ou externe, sera nommée délégué à la protection des données (“correspondant informatique et libertés”). Ce responsable sera garant de la bonne mise en place du RGPD et de la conformité de tous les traitements des données.
Grâce au renforcement de ses droits, le client doit être informé et en mesure d’accepter le profilage et la transmission de ses données à des tiers, lors de la création de son compte sur un site web. Il peut également demander où vont ses données et quels usages en a le e-commerçant, mais aussi les récupérer et les transférer à un autre responsable. Si le client demande à faire valoir son droit à l’oubli, l’e-commerçant sera forcé de supprimer toutes les données le concernant et de tous ses emplacements de stockage.
Les données peuvent être transmises, notamment dans le cas de l’utilisation du retargeting, mais uniquement au sein de l’Union Européenne. Cependant, il existe certains moyens et exceptions qui permettent de contourner cette réglementation.
Les sanctions encourues
Les sociétés agréées par l’Etat peuvent réaliser des audits afin de vérifier si la réglementation est bien respectée. Les responsables de traitement et les sous-traitants peuvent alors être sanctionnés en cas de non application du règlement. Dans le cas de la découverte d’une faille, c’est l’entreprise qui a mis en place la protection des données qui doit en prendre la responsabilité car elle est garante de la donnée, aux côtés de l’entreprise marchande.
Les autorités de protection sont en capacité d’appliquer des sanctions telles que l’avertissement, la mise en demeure de l’entreprise, la limitation temporaire ou définitive d’un traitement, l’effacement des données.
Ces amendes administratives peuvent s’élever à 10 ou 20 millions d’euros selon la catégorie d’infraction, ou encore de 2% à 4% du chiffre d’affaires annuel mondial pour une entreprise.
L’Etude d’Impact sur la Vie Privée (EIVP) ou Privacy Impact Assessment (PIA), est un document clé permettant de prouver la conformité de l’entreprise aux règles établies. Il liste par exemple, la provenance des informations, leurs différentes utilisations, leurs transmissions, et implique la responsabilité des deux parties : l’entreprise mettant en place le RGPD et l’entreprise cliente. Important : Pensez à bien réactualiser et mettre à jour ce document régulièrement.
NB : Un logiciel PIA proposé par le CNIL est disponible.
——————————————————————————————————–
Retrouvez d’autres articles sur le sujet
- Le RGPD / GDPR, c’est maintenant pour les e-commerçants ! – Adfab
- RGPD, un saut pas si compliqué – EY Société d’Avocats
- #RGPD : quelles sanctions en cas de non-respect du règlement ? – Avocat RGPD