RGPD : Les 5 Éléments Clés à Retenir

1. Pourquoi l’émergence du RGPD

Au cours des 20 dernières années avec la digitalisation du business, la collecte et le traitement des données personnelles ont connu une croissance exponentielle.

A l’ère du numérique, la bonne connaissance des clients et prospects est un vecteur d’efficience commerciale dont le leitmotiv est le suivant :

“Je collecte un maximum d’information, je croise ces informations et j’en fais ressortir la valeur.”

Cette pratique a été mise en œuvre par des entreprises du monde entier pour augmenter leurs bénéfices.

Avec cette mouvance, le but du RGPD, c’est de garantir que les entreprises n’abusent pas des données à caractère personnel qu’elles ont entre leurs mains.

Pour illustrer ces propos, vous avez pu lire à maintes reprises dans la presse que telle ou telle entreprise utilisait les données personnelles de ses clients à leur insu. Clairement le RGPD veut mettre le STOP.

L’autre sous-jacent donnant naissance au RGPD a été l’augmentation des failles de sécurité qui ont vu la diffusion dans la nature de millions de données personnelles de clients ou utilisateurs.

 

Exemple : La chaîne d’hôtel Marriott

(source : letemps.ch)

 

Exemple: La banque du Crédit Mutuel Massif Central

(source : cbanque.com)

 

Maintenant le RGPD oblige les entreprises à notifier les failles de sécurité qui ont donné lieu à des violations de données.

Avec ce processus de notification, l’information devient rapidement publique et impacte donc négativement l’image de l’entreprise qui a subi cette violation de données.

Avec cela, le RGPD cherche à renverser les rapports de force des organisations vers les personnes. En effet, il offre certains droits aux personnes par rapport aux organisations qui détiennent leurs données personnelles.

 

2. Qui est concerné par le RGPD

Le RGPD est entré en vigueur le 27 avril 2016 et il est applicable (sanctionnable) depuis le 25 mai 2018. Comme c’est un règlement, le texte s’applique immédiatement sans avoir besoin d’une interprétation dans chaque pays Européen.

Sont concernés par le RGPD tous les organismes situés en Europe ou hors Europe, qui traitent les données à caractère personnel de citoyens européens.

Par exemple une société brésilienne qui prospecte des citoyens européens est soumise au RGPD.

La taille de votre société n’est pas un critère pour s’affranchir du RGPD. Par exemple si vous travaillez seul dans une entreprise individuelle vous êtes également concerné par le RGPD au même titre qu’une entreprise du CAC40.

 

3. Quelques chiffres qui accompagnent le RGPD

Le non respect du RGPD a des conséquences lourdes.

C’est jusqu’à 2% du chiffre d’affaires mondial ou 10 millions d’euros pour certains types de manquements à la loi.

Et c’est jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros pour les manquements les plus graves.

La lourdeur des sanctions RGPD constitue une vraie révolution.

Car avant 2016, la sanction la plus élevée pour manquements liés au traitement des données personnelles était de 500 000€.

A date, en France, la sanction liée au RGPD la plus élevée a été attribuée à Google avec une amende administrative de 50 millions d’euros.  

Attention, en plus de l’amende administrative, vous pouvez vous voir infliger une amende au pénal de 300 000 euros accompagnée de 5 ans d’emprisonnement.

Dans ce cas là, il ne s’agit plus de l’argent de l’entreprise mais celui du représentant légal.

 

4. Les notions centrales du RGPD : les données personnelles et le traitement

La donnée personnelle

Le règlement fait référence aux informations personnelles identifiables (IPI), qui comprennent toutes les informations relatives à une personne (vivante) pouvant être utilisées pour les identifier.

Les données personnelles sont des informations relatives à une personne vivante identifiée ou identifiable.

De façon plus large, il s’agit de toutes informations rassemblées qui peuvent permettre d’identifier une personne particulière.

Nb: Les informations concernant une personne décédée ne constituent pas des données personnelles et ne sont donc pas soumises au RGPD.

Évidemment lorsqu’on parle de données personnelles vous pensez au nom et au prénom d’une personne mais la définition du RGPD est beaucoup plus large.

Par exemple une adresse IP est une donnée personnelle, car si quelqu’un pirate la base clients du fournisseur d’accès Internet il peut reconstituer l’identité d’une personne.

Le RGPD ne se limite pas aux informations détenues électroniquement, les systèmes de classement papier sont également inclus.

Dans ces données personnelles, il existe des règles supplémentaires pour le traitement de catégories particulières de données, par exemple les «données sensibles», qui incluent :

  • l’origine raciale ou ethnique,
  • l’opinion politique,
  • les convictions religieuses,
  • l’appartenance à un syndicat,
  • les données génétiques ou biométriques,
  • les données relatives à la santé, 
  • l’orientation sexuelle.

ou encore les données d’infractions et le NIR (Numéro de Sécurité Sociale).

Le traitement

Le traitement est une ou plusieurs opérations effectuées sur des données personnelles.

Par exemple envoyer une facture au format pdf à un de vos clients constitue un traitement.

Dans le RGPD, la notion de traitement est extrêmement importante, c’est l’unité de base qui est analysée à 360°.

 

5. Les acteurs du RGPD

Plusieurs personnes et organisations sont parties prenantes dans le RGPD.

Tout d’abord la personne centrale est appelée personne concernée ; ses données à caractère personnel sont sujet à un traitement de données.

C’est le plus souvent un client ou un prospect.

Puis dans ce groupe d’acteurs, on compte le responsable de traitement, c’est lui qui définit ce qui va être fait avec les données personnelles.

Dans le jargon RGPD, c’est lui qui définit la finalité du traitement.

Pour la toute petite entreprise, c’est le dirigeant.

De même, le responsable de traitement peut faire appel à un sous-traitant pour réaliser un traitement en particulier.

Par exemple, vous envoyez une newsletter avec votre outil mailchimp, dans ce cas précis mailchimp est votre sous-traitant.

Ensuite, le Délégué à la Protection des Données pour la langue français ou “Data Protection Officer  in English”, c’est la personne qui est le chef d’orchestre de la bonne application du RGPD dans l’entreprise.

Il peut être salarié ou être un consultant externe.

La nomination d’un DPO est obligatoire dans certains cas de figure.

Enfin, l’arbitre du RGPD est aussi appelé  l’autorité de contrôle. En France, cette autorité est la CNIL (Commission Nationale de l’Informatique et des Libertés).

Chaque pays membre de l’Union Européenne a sa propre Autorité de Contrôle.