Règlement général sur la protection des données : ce qui change pour les entreprises

journaliste à La Tribune

En mai 2018 entrera en vigueur le nouveau Règlement général sur la protection des données,  voté par le Parlement européen. Il impose de nouvelles contraintes aux entreprises concernant la manipulation des informations fournies par les utilisateurs de leurs services.

 

À partir du 24 mai 2018, le nouveau Règlement général sur la protection des données (RGPD) entrera en vigueur. Voté en avril 2016 par le Parlement européen, ce texte a pour objectif de répondre aux problématiques posées par la numérisation croissante de la société, et notamment de protéger les données des citoyens européens. Il vient par ailleurs remplacer un précédent règlement entré en vigueur en 1995, devenu obsolète.

 

Les nouvelles obligations des entreprises

Cette réactualisation du RGPD affirme dès le premier article que « la protection des personnes physiques à l'égard du traitement des données à caractère personnel est un droit fondamental » de tout citoyen de l'Union européenne. À ce titre, il doit notamment être informé de l'usage de ses informations personnelles, avoir le choix d'accepter ou non, ou encore pouvoir récupérer les données qu'il a fournies à une entreprise. Le texte précise également les règles entourant les données des utilisateurs mineurs à partir de 13 ans : l'accord parental doit être explicite à chaque fois.

 

Pour respecter ces mesures, les entreprises récoltant des données personnelles doivent mettre en place un processus de « privacy by design » dans le développement de leurs produits. Cela signifie qu'elles doivent mettre en œuvre toutes les mesures nécessaires pour protéger ces informations dès le début de leur conception. Elles auront à justifier leurs efforts en tenant un registre détaillé des traitements mis en place ou encore en informant les autorités de toute faille de sécurité.

 

Le RGPD spécifie d'ailleurs à qui les entreprises devront répondre. Il s'agit de l'administration responsable de la protection des données du pays dans lequel est situé leur établissement principal, comme la CNIL en France, et ce pour toutes leurs activités dans l'Union européenne. Ces autorités seront réunies au sein d'un Comité européen de la protection des données (CEPD) afin d'unifier leur réponse dans chaque pays.

 

Des sanctions sont évidemment prévues pour les sociétés ne respectant pas ces nouvelles règles. Un barème précis n'a pas encore été établi, mais cela peut aller du simple avertissement à l'effacement des données conservées ou à une suspension limitée dans le temps de leur collecte. Le CEPD sera chargé de mettre en place ces sanctions dès l'entrée en vigueur du RGPD.

 

Se préparer au RGPD

Pour aider les entreprises à se conformer au RGPD dans les temps, la CNIL a publié sur son site internet un guide en six étapes. Il est assorti d'un avertissement les enjoignant à s'y mettre le plus vite possible, étant donné l'importance des changements.

 

Pour l'autorité nationale de l'informatique, il faut :

  • désigner un délégué à la protection des données dans l'entreprise. Il s'assurera de la mise en conformité avec le RGPD et servira d'intermédiaire avec la CNIL,
  • commencer dès maintenant à tenir un registre du traitement des données personnelles au sein de l'entreprise, en précisant leur origine, leur utilisation en interne et leur destination,
  • dresser une liste des actions à mener pour se mettre en conformité avec le RGPD, pour faire ressortir les modifications prioritaires,
  • mener une étude d'impact sur la sensibilité des données traitées, particulièrement si elles touchent l'inclinaison politique ou sexuelle ou encore la religion,
  • organiser des processus internes pour réduire au maximum le risque de fuites de données. Cela passe par le « privacy by design », mais aussi par la formation des salariés,
  • conserver tous les documents justifiant des actions menées pour la mise en conformité avec le RGPD. La CNIL doit pouvoir y accéder à n'importe quel moment, sur simple demande.