Vous avez reçu des dizaines de courriels vous informant de modifications de conditions générales de vente/ d’utilisation ou vous demandant d’accepter une charte concernant l’utilisation de vos données personnelles dans le courant du mois de mai ?

C’est normal !

Le « RGPD », Règlement Général sur la Protection des Données personnelles, est entré en vigueur le 25 mai dernier.


RGPD, GDPR, quesako ?

Le RGPD en français, GDPR en anglais (General Data Protection Regulation)  est une règlementation européenne qui a vocation à encadrer l’utilisation des données personnelles de l’ensemble des citoyens européens.

L’objectif est double : permettre aux citoyens européens d’avoir un contrôle renforcé sur l’utilisation qui est faite de leurs données personnelles et responsabiliser les différents acteurs collectant ou traitant ces données.

Ainsi, des pratiques discutables telles que l’utilisation de données personnelles pour des finalités de profilage ou afin de faciliter la publicité ciblée vont être encadrées juridiquement pour la première fois dans le cadre de ce règlement.

 

Qu’est-ce qu’une donnée personnelle ?

La donnée personnelle est définie dans l’article 4 du règlement comme, « Toute information se rapportant à une personne physique identifiée ou identifiable ». En d’autres termes, la donnée personnelle c’est celle qui permet l’identification d’une personne de façon directe ou par corrélation.

Le nom et le prénom sont donc des données personnelles, de même qu’une adresse postale ou même une adresse IP.

Les données de santé, médicales, les infractions et condamnations pénales sont des données personnelles, considérées comme des  données « sensibles » et font ainsi l’objet de règles particulières.

 

Qui est concerné par la règlementation ?

Est concernée par les obligations de ce règlement toute entité privée ou publique qui effectue « toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, adaptation…) ». Toute entreprise collectant et traitant des données à caractère personnel devra donc se conformer au RGPD, peu importe sa taille (start up, TPE, PME, etc.).

Différents statuts sont à distinguer : les responsables de traitement, les responsables de traitement conjoints, ou encore les sous-traitants.

 

Quelles sont les principales obligations des acteurs chargés du traitement des données ?

 

Les principales obligations imposées par le RGPD sont (liste non exhaustive) :

  • Désigner un délégué à la protection des données (dans certains cas). Ce dernier est chargé d’informer et de conseiller le responsable de traitement et sous-traitant et de coopérer avec les autorités compétentes en cas d’incident. Il est également tenu de contrôler le respect du règlement et du droit national.
  • Tenir un registre de traitement (dans certains cas), qui doit recenser les différents traitements de données personnelles.
  • Garantir les droits des personnes dont les données sont collectées (droit d’accès, de modification, de suppression, de limitation, etc.): cela comprend également un devoir d’information des utilisateurs sur le traitement qui est fait de leurs données et la finalité de ce dernier.
  • Alerter l’ autorité de contrôle dans les 72h en cas de faille de sécurité.

En résumé, si vous possédez un ou plusieurs fichiers susceptibles de contenir des données personnelles (fichier client, RH, ou autres), vous êtes concerné(e) par cette nouvelle règlementation. Vous avez donc le devoir de vous y conformer, sous peine d’une amende pouvant aller jusqu’à 4% de votre chiffre d’affaires annuel (ou 20 millions d’euros).

 

Vous n’avez encore rien mis en œuvre pour vous conformer à ces nouvelles règles ?

Pas de panique : La CNIL (commission nationale informatique et libertés) a annoncé que pour les premiers mois, les contrôles auraient plus vocation à accompagner les organismes vers une mise en conformité plutôt que de sanctionner (s’agissant des nouvelles règles du moins).

Il n’est donc pas encore trop tard, mais il faut s’y mettre sans tarder ! En cas de contrôle, il semble en effet indispensable de pouvoir démontrer avoir au moins démarré des démarches de mise en conformité.

Pour tout savoir sur le RGPD, n’hésitez pas à consulter le site de la CNIL : https://www.cnil.fr/fr/comprendre-le-reglement-europeen

Si vous souhaitez plus d’informations à ce sujet et obtenir des conseils personnalisés en fonction de votre situation, prenez rendez-vous avec Maître Doriana CHAUVET ou posez lui votre question en ligne !

Article co-écrit avec Inès CHAABA, étudiante à l’Université de Nantes