« Nous avons mis à jour nos politiques de confidentialité ». « Vos données vous appartiennent ». « Nous avons votre intérêt à cœur ». Autant de belles promesses qui ont fleuri ces derniers temps, au sein de votre boite email.

Toute société commerciale ou non s’est lancée, ces derniers temps, dans une course au consentement. Le vôtre, client oh si précieux, pour leur permettre de continuer à vous envoyer leurs communications. Mes excuses, pour que vous ne laissiez pas passer la chance de vous assurer de continuer des communications « cruciales » qui pourraient, certainement, vous sauver la vie. Ou presque.

Si tout cela semble familier, vous êtes entrées dans la dimension RGPD.

Peut-être même, êtes-vous à la manœuvre, grand gourou du RGPD en entreprise.

Il semble, cependant, que les entreprises françaises ne soient pas prètes à l’entrée en vigueur de cette règlementation et, finalement, que bon nombre de questions restent en attente de réponse. Pour tous.

Mais alors, cibleur ou ciblé, le RGPD qu’est-ce que c’est ?

Le Règlement Général sur la Protection des Données (RGPD) est devenu un sujet majeur ces derniers temps. En partie du fait du flot concentré d’emails envoyés en fin de semaine dernière. En effet, le texte, voté en 2016, est finalement entré en vigueur dans l’Union européenne à partir du 25 mai 2018, soit vendredi dernier.

Qu’est-ce que le RGPD ?

Alors, le Règlement général sur la protection des données (RGPD ou GDPR, pour General data protection regulation « in English ») est une nouvelle règlementation européenne visant le traitement et la circulation des données à caractère personnel ; ces informations sur lesquelles les entreprises et autres individus (freelance ou juste marchands de cailloux) s’appuient pour proposer des services et des produits. Ce texte s’applique à l’ensemble des résidents de l’Union européenne.

Le but du RGPD est de définir un nouveau cadre de référence dans l’Union européenne pour tout ce que touche données personnelles. Le RGPD remplaçant, de fait, une directive datant de 1995. A l’ère du numérique, des réseaux sociaux et du scandale Cambridge Analytica, une mise à jour semblait nécessaire.

Au-delà de l’obsolescence des règles en place jusqu’alors, ces nouveaux textes permettent d’harmoniser le panorama européen en ce qui concerne la protection des données personnelles et réduire la fragmentation des législations liées à chaque état membre

Le déploiement du RGPD en Europe a eu lieu en deux temps : il y a d’abord eu le vote avec, le 14 avril 2016, l’adoption définitive du texte par le Parlement, suivi quelques jours plus tard, le 27, de sa promulgation au Journal officiel.

Cependant, comme on le sait, son application ne s’est pas déroulée au même moment. il avait été décidé de la décaler de deux ans, au 25 mai 2018. D’où le récent afflux de notifications tardives et urgentes.

Pourquoi 2 ans ? Pour permettre non seulement aux états d’adapter leurs législations mais aussi aux entreprises et autres entités collectant ou utilisant des données personnelles de se mettre en ordre de marche. Il faut noter que, depuis le 25 mai, tout traitement de données en infraction avec le RGPD peut déboucher sur des sanctions.

Finalement, qu’est-ce que ça change ?

Le RGPD met en place ou conforte un certain nombre de protections pour les individus, consommateurs ou utilisateurs d’un service. Il faut, par exemple, que les entreprises récoltent au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles. D’où nombres d’emails demandant, ces derniers temps, un consentement à continuer à recevoir lesdits emails.

Par ailleurs, le RGPD inclut également une reconnaissance du droit à l’oubli. A la manière de ce qui avait été mis en place pour Google en Europe, il est donc possible de demander un retrait ou un effacement de données personnelles. Pour aller plus loin, l’on dispose (en tant qu’utilisateurs) d’un droit à la portabilité des données et d’un droit d’information en cas de piratage.

A noter également que l’inscription d’un mineur sur un réseau social requiert, selon ces textes, un accord parental.

La règle RGPD, c’est pour qui ?

Cette question a contribué à donner de bons maux de têtes aux organisations et entreprises de par le monde. Toute entité manipulant des données personnelles concernant des Européens doit se conformer, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association. La particularité de ce texte, européen, tient dans le fait qu’il ne s’applique pas qu’aux organisations établies sur le territoire de l’Union Européenne. Un groupe américain, japonais ou chinois qui collecte et traite des données personnelles européennes doit aussi s’y conformer.

Des mastodontes comme Google, Facebook, Uber ou même WeChat doivent donc tenir compte des modalités du RGPD s’ils veulent continuer à fournir des biens et services à la population européenne sans risquer des poursuites. La taille de l’entreprise, son secteur d’activité ou son caractère (public ou privé) n’entre pas en ligne de compte. Un indépendant ou une startup qui débute devra aussi se plier à ces règles et s’assurer d’être en conformité.

Si besoin, en France, la Cnil (Commission Nationale de l’Informatique et des Libertés) peut vous conseiller par téléphone via une ligne dédiée : 01 53 73 22 22 (qui, espérons, reste ouverte malgré l’application du RGPD).

Quid de la douloureuse ?

Une chose est sûre, mieux vaut essayer de se mettre à jour et, idéalement, blinder sa conformité quand on parle RGPD. Google et Facebook font déjà face à des attaques et des demandes se chiffrant en milliards (affaire à suivre). Du point de vue des textes, les plafonds des sanctions fixés sont plutôt élevés : en cas d’infraction, une entreprise risque une amende allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, total de l’exercice précédent ; on retient le montant le plus élevé entre les deux cas de figure.

A titre d’exemple, une grosse société comme IBM a un chiffre d’affaire annuel mondial entre 90 et 100 milliards de dollars … Je vous laisse imaginer l’amende à 4 milliards de dollars J A noter, histoire de « simplifier » l’affaire, les sociétés travaillant avec des sous-traitants doivent également s’assurer que ceux-ci respectent les règles. Sinon, le risque d’amende reste entier puisqu’en tant que client et donneur d’ordre, la société reste responsable du traitement et de l’usage des données qu’elle détient. Pas simple.

Alors, le RGPD, finalement, ce n’est pas un mal mais c’est également un bien un peu compliqué. Les multinationales et autres grosses sociétés ne sont pas les entités à risque. Elles disposent d’avocats, de spécialistes en tout genre et des fonds nécessaire pour mettre en place une conformité qui tient la route.

Pour les TPE / PME, le risque est plus important. Il existe des guides simplifiés pour couvrir les points majeurs de cette nouvelle législation et il est important de s’assurer de mettre en place, au minimum, des règles de traitement des données. Ensuite, n’hésitez pas à passer un appel à la Cnil ou à revenir ici pour un petit guide simplifié de la mise en place du RGPD.

La préparation et la réalité – ainsi que les conseils pour régler les problèmes constatés.

Appeler
Y aller