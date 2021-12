Le RGPD a été adopté le 4 mai 2016 et est entré en vigueur le 24 mai 2016, pour une mise en application au 25 mai 2018. Plus que quelques jours, donc, pour se mettre en règle. Les pays de l'Union européenne suivaient jusque-là une Directive européenne adoptée en 1995. Ce règlement vise à protéger les données personnelles des citoyens européens. Ainsi, son champ d'action s'étend au-delà des frontières de l'UE puisqu'il concerne toutes les entreprises mondiales qui traitent, sous-traitent, ou encore stockent des données de citoyens européens. Les données concernées sont dites personnelles, c'est-à-dire les données qui permettent d'identifier une personne. Ce sont bien sûr le nom, l'adresse physique, les identifiants sur des réseaux sociaux, l'adresse mail, mais cela peut aussi être l'adresse IP, des données de géolocalisation, des données de triangulation, etc...Face à l'augmentation de la collecte et de la monétisation des données personnelles, le règlement cherche donc à renforcer le contrôle de la manière dont les données sont traitées, afin de protéger les consommateurs et usagers. Dans sa forme, il consiste en un ensemble de mesures à l'égard des collecteurs de données et de ceux qui les traitent, en les responsabilisant, mais également en renforçant de fait la coopération entre les autorités nationales de protection des données par une réglementation claire et unique qui uniformise les obligations. À long terme, ce règlement cherche à donner un cadre rassurant aux citoyens quand à quelque chose considéré comme partie intégrante de la personne : ses données personnelles.

Très concrètement, comment se mettre en conformité avec le RGPD ?

Des zones d'ombre persistent, mais certaines actions peuvent être prises pour entamer d'ores et déjà la mise en conformité.

Identifier les données personnelles recueillies ou traitées et leur utilité et sécuriser les traitements

Dans un premier temps, vous devez identifier les données personnelles que vous collectez ou traitez, vérifier qu'elles sont réellement nécessaires à votre activité et établir un registre de traitement des données s'il n'existe pas encore. Le règlement prévoit expressément que vous contrôliez les données collectées, et que vous analysiez comment et pourquoi celles-ci sont collectées. C'est ce que l'on appelle le Privacy Impact Assesment (PIA) : les données personnelles collectées doivent être limitées aux données strictement nécessaires à l'exercice de votre activité. C'est pourquoi l'analyse est indispensable et peut occasionner une révision complète des formulaires de vente que vous faites remplir à vos clients.

Le règlement implique aussi que vous vérifiez que vos prestataires et fournisseurs soient également en conformité avec le règlement en ce qui concerne le traitement de vos données. En effet, même en sous-traitant, vous restez responsables des données transmises. Vous devez les sécuriser et toute fuite de données doit immédiatement être signalée. La sécurisation des données dans toute la chaîne qui les traite est primordiale. Ce fut l'erreur de Darty qui a été condamné au paiement d'une amende pour un défaut de protection des données des utilisateurs dans la transmission à ses sous-traitants. Il vous faudra également tenir des fichiers de traitement à jour afin de permettre le contrôle à tout moment de votre bonne conformité avec le RGPD.

Avoir l'accord des personnes dont on recueille ou dont l'on traite les données et leur permettre de les récupérer, modifier, supprimer à tout moment.

Avec le RGPD, l'accord obtenu par défaut dans un coin de formulaire sur papier ou sur le web ou par mail est caduque. Chaque recueil de données personnelles doit être fait avec l'assentiment volontaire des personnes concernées en leur expliquant clairement comment elles peuvent avoir accès à leurs données, en demander la modification, la suppression mais aussi les récupérer dans un format standard. Ce dernier point concerne la portabilité des données, que le législateur exige afin que les gens puissent facilement changer de service s'ils en ont envie.

Mettre à jour les contrats des sous-traitants qui traitent ou transmettent des données

Les différentes entités qui ont accès aux données personnelles d'une chaîne de traitement sont liés par le RGPD afin que les données et les traitements dont elles font l'objet soient sécurisés. Légalement, il faut donc mettre à jour les contrats qui lient ces entreprises entre elles. Les sous-traitants ont des obligations car le RGPD demande

« des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ». Si les sous-traitants sous-traitent eux-mêmes, ceci doit être connu du donneur d'ordres.

Les demandes de traitement de ce dernier doivent l'être de préférence par écrit. Afin d'être conforme au RGPD, il vous faudra également, dans certains cas, nommer un Data protection officer (DPO), chargé de la surveillance du processus de recueil et d'utilisation des données, et qui sera l'interlocuteur des autorités de contrôle.

En cas de non-conformité, les amendes seront sévères. Ce point illustre tout particulièrement la volonté de l'UE de renforcer la confiance des consommateurs : les collecteurs et gestionnaires de données s'exposent à des risques importants en ne respectant pas la réglementation. L'organisme de contrôle de la bonne application du RGPD en France sera la Cnil. Elle aura le pouvoir d'obliger à une mise en conformité sous les plus brefs délais puis, graduellement, pourra raidir sa position. Ainsi, certaines violations, notamment une mauvaise tenue du registre, pourront engendrer une amende de 10 millions d'euros ou de 2 % du chiffre d'affaires. En cas de refus d'effectuer les modifications demandées, ou encore de collecte d'informations sans le consentement des utilisateurs, les amendes pourront grimper jusqu'à 4 % du chiffre d'affaires ou 20 millions d'euros.

En conclusion, c'est donc une véritable réglementation des données personnelles qui va être mise en place, dans le but de renforcer la transparence et la protection de l'utilisateur. Ce dernier bénéficie de droits clairement établis : obligation de recueil du consentement, droit à la portabilité des données pour les réutiliser, mais également droit à l'oubli numérique avec la possibilité de supprimer les données transmises. Responsabilité, transparence, autant d'arguments pour inciter à une plus grande confiance des utilisateurs, rendus méfiants quant à l'usage de leurs données personnelles dont on sait bien qu'elles sont le nerf de la guerre de la nouvelle économie.