Expert | Application du RGPD : 2019 sera la fin de la tolérance
Oui, les consommateurs et les professionnels ont pris conscience du changement. Le nombre de plaintes a ainsi augmenté de 32% en 2018*, un record !
Pour ceux pour qui cette notion reste encore floue, rappelons que le Règlement Général sur la Protection des Données vise à rajouter une brique de protection supplémentaire au regard des internautes et de leurs données. Ces dernières sont notamment confiées à des entreprises de petite taille mais également aux GAFAM (Google, Amazon, Facebook, Apple et Microsoft).
Il s’applique à tous les traitements de données à caractère personnel sur le territoire de l’Union Européenne. Et à l’inverse de ce que beaucoup pensent encore, le RGPD s’inscrit dans la continuité de la Loi Française Informatique et Libertés de 1978 et n’a donc quasiment rien de nouveau. Sa mise à jour a seulement permis une harmonisation à l’échelle Européenne.
7 grands principes à connaître et respecter
PRIVACY BY DESIGN
Ici, il s’agit de penser en amont, dès la conception d’un projet, à la sécurité des données à caractère personnel et à la vie privée de l’internaute.
PRIVACY BY DEFAULT
Une donnée à caractère personnel doit être collectée strictement pour un besoin spécifique et annoncé. On parle de minimisation de la collecte. En d’autres termes, ne collectez que les données dont vous avez besoin.
ACCOUNTABILITY
Vous êtes dans l’obligation de prouver que dans le cadre de la protection des données à caractère personnel, tous les moyens techniques et organisationnels ont été mis en place. La mise en place du registre des traitements en est un très bon exemple.
NOTIFICATION
Dans le cadre d’une fuite de données ou de tout autre incident, le Responsable du traitement a pour obligation de le notifier à la CNIL dans les 72h à compter du jour de ladite découverte.
TRANSPARENCE
Les personnes dont les données sont collectées doivent être informées (en particulier sur les finalités, destinataires etc…).
CONSENTEMENT
Le Responsable du traitement doit demander le consentement à chaque utilisateur pour l’utilisation de ses données. Par ailleurs, il doit en garder une trace en cas de contrôle.
DROITS DES PERSONNES
Le RGPD est régi par plusieurs droits (droit à l’oubli, droit de portabilité, droit d’accès, droit de rectification etc…). L’objectif est de permettre à l’utilisateur de garder la main sur ses données.
Ces grands principes s’appliquent à tous du moment que des données à caractère personnel sont traitées ! Entreprises, associations, organismes publics ou privés, sous-traitants… y compris sociétés hors U.E. Mais alors penserez-vous, le Règlement n’est plus seulement Européen ? Si, cependant il se peut qu’une entreprise soit domiciliée hors de l’Union Européenne et traite pourtant des données de résidents Européens. Auquel cas, le RGPD s’applique. Tout organisme quel qu’il soit, sa taille, son implantation ou son activité, peut être concerné.
Être non conforme, est-ce que c’est grave ?
Et bien, si vous ne l’êtes pas, soyez seulement prêt à payer une amende de 20 millions d’euros ou pouvant aller jusqu’à 4% de votre chiffre d’affaires annuel mondial total de l’exercice précédent*. À savoir que le montant de l’amende sera proportionnel à la gravité de la non-conformité.
Alors pourcentage ou millions ? Comment savoir par quel paiement vous seriez concerné ? La CNIL, organisme chargé de contrôler la non-conformité, retiendra le montant le plus élevé.
Exemples : votre CA annuel mondial est d’1 million d’euro (4% de 1 million = 40 000€), l’option choisit sera donc une amende 20 millions d’euros ; votre CA annuel mondial est d’1 milliard d’euro (4% de 1 milliard = 40 millions), l’option choisit sera donc de 4%.
Même si la CNIL se doit de faire preuve de discernement dans la lourdeur des sanctions, Marie-Laure Denis, nouvelle présidente de cette autorité administrative indépendante, a récemment déclaré que les contrôles seraient de plus en plus fréquents et fermes pour les années à venir. D’autant plus pour les routeurs e-mails.
Mais avant d’arriver à ce stade, sachez que plusieurs mises en garde vous préviennent des risques :
- Avertissement de la CNIL qui juge que vous n’êtes pas conforme au règlement
- Injonction de cesser la violation
- Limitation ou suspension temporaire des traitements de données (seulement dans certains cas)
- Réception d’une amende si vous n’avez mené aucune action malgré les rappels à la loi
Le RGPD n’a pas toujours bonne réputation car beaucoup d’entreprises le perçoivent comme une démarche contraignante. Or, au-delà de cadrer le traitement des données à caractère personnel, il peut être un formidable outil de fidélisation. En effet, 65% des Français en ont déjà entendu parler et plus de 60% d’entre eux se disent plus sensibles à la collecte et au traitement de leurs données personnelles*. Servez-vous en pour instaurer un climat de confiance entre vous et vos contacts. Ils seront ainsi davantage enclins à communiquer leurs informations personnelles.
Auteur : Paul Montus, Chef de projet sécurité
*Sources : Le Monde Informatique 2019 « La CNIL a enregistré un record de 11077 plaintes en 2018 » ; Article 83 du RGPD « Conditions générales pour l’imposition d’amendes administratives » ; Sondage Ifop & CNIL 2018 « Les Français et la protection des données personnelles » ; CLUSIR Aquitaine