Le règlement européen sur la protection des données personnelles sera applicable en mai 2018 dans tous les pays de l’Union Européenne. Cette réforme globale doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique.
La RGPD poursuit 3 objectifs :
- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
Ce qui va changer au niveau « humain »
Cette réglementation a pour objectif de renforcer la protection des consommateurs, leurs données ne seront que « prêtées » aux entreprises. Ainsi, ils resteront les uniques propriétaires de ces dernières pouvant exercer tous les droits dessus.
- Droit au Consentement : autorisation explicit
- Respect de la vie privée : étude d’impact pour les risques élevés sur la vie privée
- Transparence : droit de savoir à quoi servent ses données,
- Profilage : droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé,
- Possibilité de désabonnement : désabonnement possible à tout moment,
- Droit à l’oubli : Possibilité de réclamer la suppression de ses données,
- Contact inactif : tous contacts inactifs depuis plus de 3 ans doit être retirés des traitements,
- Droit à la portabilité : Possibilité d’exporter directement ses données.
Cette réglementation implique donc une forte réactivité des services de l’entreprise, depuis son DPO jusqu’aux services techniques s’il s’agit de supprimer ou de porter une donnée ;
Pour les entreprises, le texte va entrainer des changements majeurs dans l’approche de la relation clients !
Le plus significatif est sans doute la nécessité d’obtenir le consentement exprès de toute personne concernée par la conservation ou le traitement de ses données personnelles, y compris dans le cadre professionnel (fonction dans l’entreprise, numéro de téléphone professionnel, etc.).
Par conséquent, les modalités de mise en œuvre de la RGPD vont nécessiter de la part des entreprises un autodiagnostic des pratiques (état des lieux des traitements existants, suppression des traitements inutiles, mise à niveau des mentions obligatoires d’information sur les document …..)
Quels risques pour l’entreprise en cas de non-respect du règlement ?
En cas de non-respect du RGPD, l’entreprise s’exposera à diverses sanctions :
- Une sanction en cas de manquement simple peut aller jusqu’à 2% du CA de l’entreprise (dans le cas d’une entreprise faisant partie d’un groupe international, il s’agit de 2% du CA du groupe) ou jusqu’à 10M d’euros.
- En cas de faute grave, la sanction est doublée. Dans tous les cas, le montant le plus élevé est retenu.
Au-delà du préjudice financier, les répercussions seront les plus fortes au niveau de l’image de l’entreprise fautive. Car l’objectif de ce règlement n’est pas de punir la fuite de données, mais de prévenir les comportements à risque des entreprises peu regardantes des données personnelles.
• Retrouvez toutes les informations et outils sur le site de la CNIL
• Consultez le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016