Si vous travaillez dans le domaine du web, vous avez probablement déjà entendu parler du nouveau règlement sur la protection des données, le RGDP. Adopté le 14 janvier 2016 par le parlement européen suite à de nombreuses négociations législatives, la nouvelle réglementation entrera en vigueur le 25 mai 2018. De quoi s’agit-il exactement ? À qui s’adresse-t-elle ? Quelles sont les obligations pour les entreprises ? Les sanctions ? On vous explique tout dans cet article.
Qu’est-ce que le RGPD ?
Le RGPD (Règlement général de protection des données) est le nouveau règlement européen sur la protection des données. Publié en mai 2016, il compte plus de 88 pages et a pour objectif de renforcer le droit des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.), d’encadrer les acteurs de la donnée, et de réguler les traitements de données par les entreprises en renforçant la coopération entre les autorités de protection.
Que veut-on dire par données ?
La donnée peut s’entendre de différentes manières, on utilise ce terme pour la collecte, l’enregistrement, le stockage, la recherche, la transmission, le blocage ou encore l’effacement des données relatives aux personnes physiques et morales.
Qui est concerné par cette réglementation ?
La réglementation s’appliquera à toutes les entreprises qui collectent, traitent et exploitent des données personnelles comme les agences de marketing ou de communication, les intégrateurs de logiciels, les sociétés qui travaillent sur la sécurité informatique et toutes les entreprises et prestataires de services informatiques.
Les 4 principes du RGPD et ce que cela implique
Le RGPD 2018 repose sur 4 principes qui sont le consentement, le droit des personnes, la transparence et la responsabilité.
Le consentement
Dès l’entrée en vigueur de la réglementation, les individus devront donner leur consentement quant à la collecte et le traitement de leurs données personnelles. En d’autres termes, seuls les contacts “opt-in” pourront désormais être exploités.
Le droit des personnes
Grâce à la nouvelle réglementation, les individus bénéficieront de nouveaux droits :
- Le droit d’accès. Tout individu peut obtenir le droit d’accès à ses informations le concernant.
- Le droit à l’oubli pour tous les utilisateurs. Cela signifie que les entreprises disposeront d’un délai réduit d’un mois pour la suppression des données à la suite d’une demande.
- Le droit à la limitation du traitement des données qui permet de demander la suspension du traitement des données. Les entreprises devront adapter leur système d’information pour stocker les données qui ne font plus l’objet d’un traitement.
- Le droit d’opposition. la personne concernée a le droit de s’opposer à tout moment au traitement des données.
- Le droit à la portabilité des données qui permettra à un individu de récupérer les données qu’il a fournies et de les réutiliser ou encore de les transmettre à un tiers.
La transparence
Les entreprises devront transmettre aux individus des informations claires et sans ambiguïté sur la façon dont leurs données seront exploitées. Les utilisateurs devront systématiquement pouvoir donner leur accord ou refuser un traitement de leurs données.
La responsabilité
Le principe de responsabilité implique que le responsable du traitement des données d’un individu doit être capable de démontrer que la réglementation liée au RGPD 2018 est respectée. Par exemple, une entreprise peut mettre en place des nouveaux outils de stockage et des processus davantage axés sur l’accompagnement et la traçabilité pour montrer qu’elle se porte responsable des données qui lui ont été fournies.
Les obligations pour les entreprises
La nouvelle réglementation du RGPD 2018 impose un certain nombre d’obligations aux entreprises :
- Respecter le principe de protection des données personnelles et de la vie privée imposées par le règlement dès la conception d’un projet (privacy by design) et ce par défaut (privacy by default)
- Obligation de créer de la documentation concernant le traitement des données
- Obligation de tenir un registre de traitement des données
- Obligation de nommer un délégué chargé de la protection des données et garant des moyens mis en place par l’entreprise.
Les conséquences pour le marketing B2B et B2C
En France, le marketing B2C est supposé fonctionner en “opt-in”, c’est à dire que la personne qui reçoit un email doit avoir donné au préalable son accord pour figurer dans une base de données. À l’inverse, le marketing B2B fonctionne souvent sur un mode “opt-out’, à savoir que la personne qui reçoit un email doit avoir la possibilité de demander à être supprimé d’un fichier de mailing. Le RGPD 2018 souhaite que les entreprises fonctionnent uniquement sur du double “opt-in”, qui consiste à demander une confirmation par email à chaque internaute ayant rempli un formulaire sur votre site web. Pour que les internautes valident leur consentement, ils devront cliquer sur un lien dans l’email de confirmation. Ainsi, vous pourrez prouver que vos contacts ont bien validé un email concernant le traitement de leurs données personnelles.
Que faire en cas de violation des données ?
Les entreprises ont pour obligation de notifier la CNIL sous 72h ainsi que les personnes dont les données auraient été soumises à une violation. Les utilisateurs pourront également demander réparation des préjudices qu’ils ont subi.
Les sanctions pour les entreprises
Dans le cas où une entreprise ne respecterait pas la réglementation, des sanctions administratives sont prévues allant du simple avertissement à une amende pouvant atteindre 20 millions d’euros ou 4% du chiffres d’affaires de l’entreprise.
Si le RGPD 2018 peut sembler quelque peu sévère, il renforce les droits des utilisateurs et permet aux entreprises d’avoir une traçabilité des données et d’être en accord avec les souhaits des utilisateurs. Cette mise en conformité est à la fois nécessaire pour la sécurité des données mais permet aussi de préserver et de garantir les droits des individus.