On en parle beaucoup, partout et presque tous les jours, du RGPD (Règlement général sur la protection des données). D’abord parce que ce règlement européen qui aura force de loi à partir du 25 mai 2018 est présenté comme un monstre effrayant, tant les efforts qu’il requiert semblent immenses. Ensuite par la mise en avant des sanctions qu’il prévoit, dont des amendes pouvant atteindre 4% du chiffre d’affaires ou 20 millions d'euros.
Un mois nous sépare de l'entrée en force du règlement général sur la protection des données et pourtant il n’est pas rare de croiser des dirigeants de PME qui ne savent toujours pas de quoi il s’agit. Le RGPD fait peur à de nombreux professionnels. Parmi les autres, certains jouent encore à l’autruche.
Ce n’est pas un champignon sorti de terre du jour au lendemain mais le résultat d’une évolution de la technologie depuis au moins l’an 2000. Il vise, d’un côté, à favoriser la circulation des données sans entraver l’évolution des affaires et, de l’autre, à respecter les données personnelles des citoyens européens que nous sommes. Reposant sur une histoire spécifique et la construction de l’Union européenne, il marque une différence avec la philosophie américaine, plus favorable à la libre circulation des données qu’à leur protection.
La démarche voulue par le législateur européen est mixte entre les interventions des opérateurs privés et celles des autorités de contrôles publiques, changeant ainsi la donne par rapport au passé: les entreprises doivent se conformer au règlement et peuvent éventuellement se faire certifier.
Les PME comme les grandes entreprises (peu importe où elles sont opérationnelles) qui traitent des données personnelles de personnes physiques européennes y seront soumises et s’exposent à des sanctions à défaut de s’y conformer. Outre les amendes, les autorités de contrôle peuvent interdire de traiter les données incriminées pendant une période déterminée. Une telle sanction, comme l’atteinte à la réputation, pourrait être plus néfaste à certaines entreprises que lesdites amendes.
La démarche voulue par le législateur européen est mixte entre les interventions des opérateurs privés et celles des autorités de contrôles publiques, changeant ainsi la donne par rapport au passé: les entreprises doivent se conformer au règlement et peuvent éventuellement se faire certifier. De leur côté, les autorités publiques peuvent sanctionner les entreprises en infraction.
Le RGPD octroie de nouveaux droits aux personnes physiques, dont ceux de corriger, effacer leurs données personnelles, ou celui de portabilité.
Chaque responsable du traitement (l’entreprise qui décide des moyens de collecte et des objectifs) vérifie la légalité de l’obtention des données. Le RGPD liste six justifications légales au traitement dont le consentement. Toutes ne sont pas applicables en fonction de l’objectif poursuivi.
Le règlement s’impose à toute entreprise traitant des données personnelles de citoyens européens. Il s’agit donc de vos clients, fournisseurs, collaborateurs… même lorsque la relation est uniquement professionnelle. Les données personnelles ne se limitent pas aux adresses (physique ou e-mail) ou à l’historique de vente: une adresse IP permanente est aussi une donnée personnelle, comme des relevés de localisations, les données salariales, fiscales, administratives… Sans oublier les données sensibles syndicales, médicales, philosophiques ou religieuses…
Se conformer au RGPD est un projet qui prend du temps et nécessite une bonne dose d’attention.
Le RGPD octroie de nouveaux droits aux personnes physiques, dont ceux de corriger, effacer leurs données personnelles, ou celui de portabilité. C’est un véritable droit de contrôle qui met en avant que les informations appartiennent aux individus et non aux entreprises qui les ont colletées et/ou traitées.
Pour les PME, le principe le plus important à maîtriser est certainement celui de la responsabilisation, qui va la guider tout au long de son processus de mise en conformité. De prime abord, on croit souvent qu’une PME se limite à servir ses clients et payer son personnel. La complexité apparaît lorsque l’on détaille les traitements. Se conformer au RGPD est un projet qui prend du temps et nécessite une bonne dose d’attention.
Le RGPD vise d’un côté à favoriser la circulation des données et de l’autre à respecter les données personnelles des citoyens européens.
La plupart des PME ne seront pas 100% prêtes pour le 25 mai 2018, date qui ne doit pas être prise comme un couperet. Au cas où l’autorité de contrôle serait saisie d’une demande d’intervention, il sera important de lui démontrer l’existence d’un plan d’actions en cours d’implémentation. Plusieurs guides de conformité existent, dont le vade-mecum de la Commission de la vie privée destiné aux PME.
Établir la conformité d’une entreprise au RGPD est le moyen d’améliorer son fonctionnement tout en rendant aux personnes physiques la propriété et le contrôle de l’utilisation de leurs données personnelles. Si nous pouvons regretter la nouvelle charge qu’il fait porter sur les entreprises, nous, les individus que nous sommes ne peuvent que se féliciter de son arrivée.