Règlement Général sur la Protection des Données; 

Ce qui va changer à partir du 25 mai 2018

Etes-vous informés ? Etes-vous prêts ?

Le compte à rebours a commencé : les entreprises ont jusqu’au 25 mai prochain pour se mettre en conformité avec le RGPD, le nouveau cadre européen sur la protection des données. Toutefois, pour éviter amendes et sanctions, il ne faut pas se précipiter et bien s’informer sur les nouvelles lois, la collecte et le traitement des données numériques.

IPE peut vous conseiller et vous accompagner dans la mise en conformité avec le RGPD.

Le RGPD : contexte et objectif

Le RGPD : contexte et objectif

Le Règlement général sur la protection des données, ou RGPD, remplace la dernière directive sur la protection des données, qui date de 1995 et qui a été rendue obsolète par l’explosion du numérique.
Le but du RGPD est d’harmoniser les législations européennes, de renforcer les droits des personnes, et de responsabiliser les entreprises sur la sécurisation des données en rapport avec les personnes et ainsi instaurer un climat de confiance entre le collecteur de données personnelles et le collecté. Dorénavant, la responsabilité de ceux qui collectent et utilisent les données est clairement engagée.
Le RGPD est une loi européenne, et non une directive à transposer, les Etats membres vont devoir l’appliquer telle quelle, de façon uniforme. Objectifs, délais et moyens pour y parvenir seront désormais les mêmes pour tous. Votée en 2017, le RGPD entrera en vigueur définitivement le 25 mai 2018. Ce règlement s’applique à toutes les structures (sociétés, associations, administrations, établissements scolaires…) basées dans l’Union européenne et qui proposent des biens ou services à des personnes résidant également dans l’Union européenne. Ces structures devront se mettre en conformité quels que soient leur taille, leur secteur d’activité et le pays où elles stockent leurs données.

Ce qui va changer pour les personnes (salariés, consommateurs, internautes, élèves, adhérents…)

Avec le RGPD les salariés devront être informés des données récoltées par leur employeur. Ils pourront exiger une copie intégrale de leurs données et demander la suppression de toute information n’ayant pas de rapport avec leur contrat de travail, comme par exemple les scores de performance, les données sur l’origine raciale ou les convictions religieuses.

La réglementation va également évoluer pour les internautes qui seront mieux protégés. Désormais, les entreprises doivent récolter un consentement écrit et explicite avant de traiter des données personnelles. Les internautes disposent d’un droit à l’oubli en cas d’atteinte à la vie privée, d’un droit à la portabilité de leurs données, et du droit à être informé en cas de piratage. Lors d’un achat sur un site marchand, ce dernier ne sera pas dans l’obligation de demander le consentement de l’internaute pour récolter ses données. Cependant les sites marchands devront en informer leurs clients, leur donner un droit d’accès et de rectification à leurs données, et un droit d’opposition à la prospection.

Quelles obligations pour les chefs d’entreprises ?

Dans le contexte de ces futures contraintes réglementaires, outre les aménagements organisationnels et techniques à prévoir, les entreprises ont pour obligation de se doter de solutions afin de permettre la mise en place de processus de contrôles ainsi que différents rapports. Ces derniers concernent notamment

  • Les contrôles et la sécurisation des accès
  • La gestion des comptes et des identifiants
  • La gestion des privilèges des utilisateurs
  • La surveillance de l’intégrité des données
  • La gestion de la configuration
  • La gouvernance des données
  • La traçabilité des audits avec tenue d’un registre des traitements
  • La désignation d’un délégué à la protection des données (data protection Officer)

Quelles sont les sanctions prévues en cas de non-respect du RGPD ?

Pour certaines entreprises, respecter le RGPD ne sera pas facile ; on pense en particulier aux géants du web les « GAFA » comme Google ou Facebook, champions de la collecte de données, mais aussi aux petites entreprises qui ne disposent pas d’un conseil en informatique ou même d’un département juridique. Or, en cas de non-respect de la nouvelle réglementation, les amendes seront très conséquentes : elles peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de la société.

En résumé

Le RGPD : contexte et objectif

Vous souhaitez plus de renseignements ?