RGPD, le Règlement Général de la Protection des Données : qui n’en a pas entendu parler !
Deux précisions qui ont peut-être leur importance :
– Une grande partie des dispositions du RGPD existaient déjà avant, et même bien avant, la mise en place de ce dispositif.
– Si le RGPD a fait beaucoup de bruit et coulé beaucoup d’encre autour des données numériques il peut être important de rappeler qu’il en va de même de la protection des données consignées sur des supports plus classiques, ou pourrait-on dire aujourd’hui plus archaïques tels que le papier.
Voté par l’Union Européenne en 2016 pour une entrée en vigueur au printemps 2018, ce règlement a pour objectif de définir le cadre juridique de la protection des données personnelles collectées, stockées et gérées par des entités publiques ou privées.
Comme c’était le cas avant son entrée en vigueur, la CNIL est l’organisme chargé de la gestion du RGPD en France.
C’est une information qui concerne une personne physique à titre individuel et va pouvoir servir à l’identifier : son nom, son prénom, son adresse, etc….
Si certaines données sont indispensables pour entretenir une relation, nom, téléphone, adresse postale ou messagerie électronique, d’autres sont considérées sensibles, relevant de l’intime, orientation sexuelle, sensibilité religieuse, appartenance politique. Elles n’ont dans la grande majorité des cas pas lieu d’être collectées et si tel doit être le cas, cela ne peut se faire sans une déclaration écrite, voire l’autorisation explicite de la CNIL.
Toutes celles qui collectent des données de ressortissants européens. On pense tout de suite à la « méchante » entreprise, bien-sûr concernée quelle que soit sa taille et même si elle est étrangère, mais il en est vrai aussi de la « gentille » association ou encore de tout organisme public.
Ils sont au nombre de quatre :
– Le consentement
– Le droit des personnes
– La transparence
– La responsabilité
Toute entité qui collecte des données personnelles doit être en mesure de prouver le consentement par les intéressé.e.s des données collectées.
Le RGPD fait une distinction entre les données collectées entre professionnels (BtoB) et les données collectées à des fins commerciales (BtoC) ou autres.
Certaines entreprises peuvent rencontrer en interne les deux cas de figure et doivent alors mettre en oeuvre une organisation distincte pour chacune de ces deux catégories de données collectées.
La transparence implique de fournir des informations claires sur le type de données stockées et la manière dont elles seront utilisées, ce qui bien souvent fait appel à des bandeaux avec cases à cocher avant de pouvoir naviguer librement sur un site internet.
Un droit d’accès aux données collectées. Ce droit doit être « facilité » et en aucun cas « entravé ».
L’utilisateur peut aussi faire valoir son droit à l’oubli, un droit à la limitation du traitement des données ainsi qu’un droit à la portabilité des données.
Ces différentes possibilités varient selon les cas, les entités collectrices, les raisons et les finalités. Il y a tellement de cas possibles, et probablement à venir…., qu’il est difficile de tout évoquer ici.
Il n’est pas rare en effet d’arriver sur un site qui impose l’acceptation de cookies via une formule assez confuse si l’on veut aller plus loin. Cela est parfaitement illégal et passible d’une amende en cas de plainte auprès de la CNIL.
Un DPO doit être désigné (Data Protection Officer). A défaut c’est le responsable juridique de l’entité concernée qui endosse la responsabilité dans le cadre du RGPD.
Les mesures de sécurité imposent un encadrement et une information des procédures, y compris avec les sous-traitants et partenaires impliqués dans les opérations qui conduisent à la collecte des données concernées par le RGPD.
Il faut toutefois relativiser…. Les exigences à ce niveau ne sont pas les mêmes pour un plombier qui collecte en local les seules adresses de ses clients pour envoyer ses voeux de bonne année et une société commerciale d’envergure qui surfe avec les données sensibles pour atteindre son maximum de performance en s’aidant des technologies les plus abouties de marketing digital (qui derrière de jolis noms pompeux dissimulent de façon à peine voilée des méthodes qui relèvent des pire services secrets d’intelligence avec l’ennemi)
En savoir plus sur le RGPD
RGPD en six étapes
Un mode d'emploi pour la mise en oeuvre du RGPD
Professionnels : gare aux démarchages abusifs