L’abréviation circule dans tous les bureaux des services de communication depuis quelques temps : RGPD. A quoi cela renvoie-t-il ? De quelle manière cette nouvelle loi européenne va-t-elle impacter le quotidien des sociétés ? Décryptage.
LE RGPD, DÉFINITION
Priorité aux populations européennes
Le RGPD signifie Règlement Général sur la Protection des données, il s’agit d’un texte concernant l’ensemble de l’Union européenne pour protéger les données personnelles des citoyens européens. Le but de ce texte : légiférer, encadrer l’utilisation des données des internautes.
Les données personnelles, ce sont toutes les informations se rapportant à une personne physique (coordonnées, âge, sexe, situation familiale, derniers achats, localisation, etc.).
Soin particulier aux données sensibles
Il y aura des différences de traitement pour les acteurs concernés suivant la nature des données traitées et la taille de l’entreprise. Parmi les données, certaines dites “sensibles” devront faire l’objet d’une attention particulière.
Cela concernerait les informations sur l’origine ethnique, la couleur de peau, les opinions politiques, éthiques, philosophiques, religieuses, l’appartenance syndicale, la santé, la génétique, l’orientation sexuelle, le casier judiciaire d’un citoyen européen.
Toutes les données sensibles devront faire l’objet d’un travail de sécurisation, c’est-à-dire garantir que ces informations seront accessibles et conservées sous certaines conditions de manière à ne pas nuire aux personnes qu’elles concernent.
IMPACT SUR LES ACTEURS CONCERNÉS PAR LE RGPD
Beaucoup d’organismes concernés
A partir du 25 mai 2018, de nombreuses sociétés seront impactées par cette nouvelle loi. En effet, le RGPD concerne toutes les personnes morales qui pourraient traiter les données personnelles de résidents de l’Union Européenne.
Organismes privés ou publics, associations ou secteur privé, TPE ou firmes, structures européennes ou étrangères, la loi s’applique à tous dès lors que les données personnelles d’un Européen de l’Espace Schengen sont impliquées.
Usage privé et RGPD
Concernant les personnes physiques : si vous souhaitez collecter des données dans un cadre strictement personnel, vous ne serez pas contraint à respecter le RGPD. Vous restez cependant toujours contraint à l’article 9 du code civil et au respect des droits fondamentaux d’autrui.
En revanche, comme l’explique cette vidéo réalisée par un youtubeur avec la CNIL, dès lors que vous entrez dans un cadre professionnel, en tirant un revenu, une expertise que vous pourrez vendre, etc. à partir de ces données, vous entrez dans le cadre du RGPD.
Du côté des associations
Pour les associations qui souhaitent collecter et utiliser les données des visiteurs de leur site, elles devront les renseigner sur l’usage qui en sera fait, sur la personne collectant leurs données, sur le temps pendant lequel elles seront conservées et sur leur droits à refuser cette collecte.
Les associations devront également tenir un registre répertoriant les traitements effectués, et répondre à toute demande d’une personne concernant ses données (renseignement, modification, suppression, etc.). Elles devront aussi signer une clause de protection des données à chaque fois qu’elles traiteront avec un sous-traitant.
Responsabilité des sous-traitants
A noter que les sous-traitants sont considérés comme responsables vis à vis du traitement des données qu’ils font traiter par une société tierce : ils pourront, comme l’entreprise employée, faire l’objet de sanction s’ils ne respectent pas la loi.
QUE PRÉVOIT LA LOI ?
Cette nouvelle règlementation a pour but de clarifier la manière dont sont utilisées les données et de permettre aux utilisateurs de reprendre le contrôle de l’utilisation de leurs données.
Elle oblige surtout les acteurs concernés à mettre en place une organisation qui permette de rendre compte de l’utilisation que les entreprises font des données . Pour respecter cette nouvelle obligation de rendre compte (accountability en anglais), vous pourrez établir un registre qui retrace toutes les actions de collecte, de traitement, de modification et de suppression des données, ainsi que des mesures de sécurisation.
Les sanctions pourront aller jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros.