RGPD : faisons le point sur le décryptage de cette réforme !

L’application de la réforme du RGPD (règlement général sur la protection des données) adoptée par le Parlement européen est imminente ! A partir du 25 mais 2018, toutes les entreprises privées et les organismes publics gérant des données personnelles doivent se conformer et repenser le traitement, le fonctionnement et la protection de leurs données. Quels sont les réels changements qui vont s’opérer ? Quels sont les acteurs concernés, mais surtout, comment bien se préparer ?

Bubbleting, plateforme d’expertise en IT & Digital s’est penchée sur ces questions afin de faire le point sur cette réforme !

Quels sont les acteurs concernés ?

Le règlement concerne toutes les données personnelles d'individus présents sur le territoire de l'union européenne,traitées automatiquement ou non, par des entreprises du secteur privé et des organismes publics présents eux aussi sur le territoire de l'union européenne.

Quels sont les réels changements qui vont s’opérer ?

On parle de collecte de données à travers les cookies (collectant les IP des utilisateurs qui deviennent des données personnelles), ainsi que les e-mails. À partir du moment où on peut rattacher une identité à son utilisateur, cela devient une donnée personnelle. Le RGPD impactera le fonctionnement des entreprises de diverses manières : 

La sensibilisation : les entreprises seront tenues de sensibiliser et d’expliquer cette nouvelle réforme, ses contraintes et ses obligations à leurs clients.

La documentation : les entreprises devront offrir à leurs clients la documentation nécessaire sur les principes et les enjeux du RGPD.

La conformité : les entreprises doivent obéir scrupuleusement aux nouveaux principes du RGPD.

Le consentement des clients 

Le consentement doit être manifesté de manière claire, précise, positive, compréhensible, libre et distincte. Les entreprises seront tenues de garder toute trace de consentement des clients. Tous les moyens de preuves techniques et pratiques telles que l'horodatage et la confirmation écrite seront répertoriés et sauvegardés. Les entreprises sont tenues de revoir et de renégocier les contrats déjà signés avec leurs clients, afin de se conformer au RGPD.

La finalité  

Un DPO (Data Protection Officer) qui sera désigné comme responsable et chargé du traitement des données ne pourra le faire sans but particulier. En effet, les données récoltées doivent obéir aux principes de légitimité, d'exactitude, d'adéquation, de proportionnalité, de pertinence, de loyauté et de licéité. Les données doivent, également, être mises à jour. Ces données doivent être sauvegardées en sécurité, ne doivent être ni déformées ni endommagées.

Création de nouveaux droits grâce au RGPD 

Le droit à l'oubli : toute personne, ayant autorisé la collecte de ses données, peut manifester le droit de se rétracter et de disparaître des bases de données, des sites internet et des réseaux : c'est le droit à l'oubli numérique. Ce droit n'est pas nouveau, la différence qui s'opère avec le RGPD est le fait de ne plus avoir besoin de motif légitime pour l'effacement de ses données par le responsable du traitement.

Le droit à la portabilité est l’une des nouveautés de ce règlement : elle introduit la possibilité de restituer aux individus des données lisibles et réutilisables afin de les sauvegarder pour un usage personnel, ou pour les transférer vers un autre organisme.

La politique d’accountability 

Cette notion est la clef de voûte de ce règlement. Elle repense et fait évoluer le traitement des données du simple contrôle préalable à une responsabilisation. En d’autres termes, en plus d’un contrôle préétabli des données entrantes dans une entreprise, un DPO sera désigné et affecté au traitement, à la protection et à la sauvegarde des données. Le DPO veillera, également, à ce que son entreprise mette en œuvre toutes les mesures techniques et organisationnelles afin de se conformer au RGPD. 

Le concept de : Privacy by design / Privacy by default 

Ces deux concepts novateurs du RGPD poussent les entreprises et les éditeurs à utiliser un produit ou un service compatible, dès sa conception, aux contraintes des réglementations du RGPD. En plus de la compatibilité, il est nécessaire que ces services ne collectent que les données nécessaires et utiles en vue de leurs finalités. Cela implique non seulement la durée de conservation de ces données mais également leurs finalités.

La responsabilité coté client 

Outre les exigences et les responsabilités qui incombent aux entreprises, le client doit démontrer son respect des exigences du RGPD. L’article 28-1 du règlement général sur la protection des données stipule que le client doit s’assurer que l’éditeur qui collecte ses données soit conforme et obéisse aux principes du RGPD. L’outil logiciel va aider à la conformité au RGPD, mais c’est au client de vérifier au préalable la conformité ou non de l’entreprise : puisque le client ne maitrise pas l’outil logiciel qui collecte directement ses données, l’éditeur ou le responsable des traitements doit lui préparer une feuille de route pour le guider et l’orienter. Le client se doit, également, de limiter la diffusion de ses données sous peine d’être tenu pour responsable en cas de diffusion inappropriée ou de perte de ses données.

La non-conformité au RGPD 

Les entreprises, ne s’étant pas conformées aux principes du RGPD, devront s’acquitter d’une amende pouvant aller jusqu’à 20 millions d’euros ou 4% de son chiffre d’affaires mondial annuel. 

Bubbleting, offre les services de plus de 600 consultants référencés experts en organisation des SI, en transformation digitale, et en réseaux et sécurité afin de pouvoir accompagner les entreprises dans leur conformité aux principes du RGPD.