RGPD/GDPR : la nouvelle usine à gaz à laquelle vous n'échapperez pas !

“Si la data est le nouveau pétrole, la confiance est la nouvelle monnaie.” Vous avez déjà entendu cette formule ? Alors il est temps de l’appliquer.

Car le RGPD (Règlement général sur la protection des données, GDPR pour General Data Protection Regulation en anglais), arrive bientôt : il sera effectif dans moins d’un an, le 25 mai 2018. Et il va chambouler complètement votre manière de gérer le traitement des données personnelles. Vous pensez que votre entreprise n’est pas concernée ? 

Détrompez-vous : d’une façon ou d’une autre, le RGPD va venir titiller votre business.

Le RGPD, qu’est-ce que c’est ? 

Le RGPD pose un cadre juridique autour d’un enjeu essentiel : le traitement des données personnelles. Texte de référence au niveau européen, applicable dans tous les pays de l’Union en 2018, le RGPD est la réglementation la plus importante depuis 20 ans. Il cherche à remplir trois objectifs.

1/ Harmoniser les réglementations européennes

L’Europe des données personnelles ressemble à une terra incognita où chacun fait ce qu’il veut. Si la France bénéficie depuis longtemps d’un garde-fou, la CNIL (Commision nationale de l’informatique et des libertés), ce n’est pas le cas de la plupart de nos pays voisins. Le Règlement général sur la protection des données vient donc harmoniser les différents usages à l’échelle du continent. Et tout le monde devra en appliquer les règles de la même manière : pas besoin de traduire ses dispositions dans le droit national !

2/ Appréhender différemment le traitement de la data

À travers ce texte, c’est toute une philosophie que l’Union européenne entend changer. Le RGPD impose de revoir la façon dont beaucoup d’entreprises appréhendent actuellement le traitement des données personnelles, afin de mieux protéger les citoyens de l’UE. Un exemple ? Finis les e-mailings “sauvages” et les appels téléphoniques non désirés ! Le consentement express de l’individu quant à l’usage qui est fait de ses données deviendra indispensable.

3/ Faire de la confiance une monnaie d’échange

De fait, la confiance devient une véritable monnaie d’échange dans le monde de la data. Les utilisateurs devront consentir à ce que les entreprises utilisent leurs données personnelles, à condition de savoir lesquelles, pour quelle finalité et avec la certitude que ces informations ne seront pas partagées pour servir un autre but ou volées impunément ! Pour le garantir, chaque entreprise (ou presque) devra nommer un « Data Protection Officer », ou DPO, qui aura la responsabilité de la bonne utilisation des données et, en cas de fuite, l’obligation de tirer la sonnette d’alarme auprès de l’autorité compétente (en France, il s’agira de la CNIL). En somme, plus qu’une énième réglementation, le RGPD vise surtout à tisser des liens de confiance entre les entreprises et les utilisateurs. 

Règlement européen sur la gouvernance des données personnelles : 
Se préparer en 6 étapes

 En quoi le RGPD vous concerne ?

 Vous pensez que la nouvelle réglementation ne vous regarde pas ? Détrompez-vous. Le texte englobe la grande majorité des entreprises, dans tous les domaines. À moins que vous n’ayez mis en place un système d’anonymisation des données, vous devrez vous soumettre au RGPD dès lors que vous collectez, stockez, modifiez, utilisez et transmettez des données personnelles – et, oui, le nom, le prénom, le numéro de téléphone portable et l’adresse mail professionnelle d’une personne sont des données personnelles !

 À savoir :

La pseudonymisation est soumise à la RGPD car elle permet de reconstituer les données, alors que l'anonymisation est une opération irréversible.

Le RGPD, impossible d’y échapper

Rares sont les professionnels qui échapperont aux nouvelles règles européennes. Même les associations locales et les écoles devront appliquer ses dispositions. Les établissements scolaires collectent et utilisent les coordonnées des parents d’élèves, qui sont des données personnelles ! Et les associations font remplir des formulaires à leurs membres – idem. À part le petit commerçant du quartier qui carbure encore au carnet et au crayon de papier, toutes les entreprises manipulent des données personnelles et devront donc veiller à leur sécurité ! 

Les grands principes du texte appliqués à votre entreprise 

Pour pouvoir traiter ces données en toute sécurité, il sera nécessaire d’appliquer les grands principes du RGPD à l’échelle de votre entreprise. À savoir :

• Faire preuve de transparence, en indiquant clairement les données personnelles en votre possession, en vous assurant du consentement des individus, et en précisant la finalité de leur utilisation.
• Minimiser la collecte pour ne récupérer que les informations dont vous avez expressément besoin.
• Respecter le droit d’autrui à la consultation des données (ou droit à la portabilité des données) le concernant, ainsi que celui de les corriger et de les effacer dans le cadre du droit à l’effacement, ou droit à l’oubli numérique.
• Cartographier les données et vérifier leur exactitude, afin de savoir à tout moment où elles se trouvent, ce qu’elles contiennent et si ce contenu est exact. Attention : il suffit d’une mauvaise manipulation (par exemple lors de l’importation d’un fichier Excel dans un ERP) pour créer une petite erreur aux vastes conséquences !
• Contrôler la durée d’utilisation, en associant à chaque information un temps de conservation maximum. Vos tas de CV de candidats non retenus ? Détruits après 6 mois. Et vos données de prospection, quand vous en débarrassez-vous ? Si vous souhaitez les garder sur une longue durée, il vous faudra la justifier auprès de la CNIL.
• Identifier et contenir les risques, en utilisant des applications qui protègent par défaut les données. (ce que le RGPD appelle « privacy by design »).

Nommer un Data Protection Officer

Dans certaines circonstances (suivi de données à grande échelle ou de données sensibles), vous devrez appliquer une disposition supplémentaire : nommer un « Data Protection Officer », chargé de contrôler le traitement (et le bon usage) de toute cette data. Même chose si vous êtes un organisme public. Le but ? Avoir un lanceur d’alerte in situ, garant aux yeux de la CNIL et de l’utilisateur du lancement de l’alerte en cas de suspicion de fuite de données.

Son rôle est crucial : le DPO a la responsabilité de cartographier toutes les données personnelles à la disposition de l’entreprise avant mai 2018, d’évaluer les risques de fuite et de mettre en place des solutions de protection et d’encadrement de l’utilisation.

Données personnelles classiques VS données sensibles

Il convient toutefois d’opérer une distinction. Dans la famille de la data, toutes les informations ne sont pas égales. D’un côté, il y a les données personnelles ou professionnelles « classiques », généralement limitées à des coordonnées (nom, adresse postale, adresse mail, téléphone, etc.). De l’autre, il y a les données personnelles « sensibles ». Celles qui définissent la place de l’individu dans la société : historique judiciaire, santé, génétique, ethnicité, orientation sexuelle, opinions politiques et religieuses, etc.

Le niveau de protection ne sera pas le même selon le type de données concerné. Et ce, même si le RGPD définit la data personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable » (cf. texte officiel).

Vous l’aurez compris : si vous manipulez des données, même dans des volumes réduits, vous êtes concerné par le RGPD. Ouvrez les yeux et commencez à vous préparer, car le temps presse et les challenges sont nombreux – identifier, cartographier, contrôler, désamorcer les risques.
En cas de non respect des règles, vous en serez quitte pour une amende de 20 millions d’euros – ou 4 % de votre CA global. Courage, il vous reste quelques mois pour vous mettre en règle !

Retrouvez nos conseils et points d'améliorations pour les sociétés de service gérées par affaire :