Si vous travaillez dans le domaine du web, vous avez probablement déjà entendu parler du nouveau règlement sur la protection des données, le RGDP. Adopté le 14 janvier 2016 par le parlement européen suite à de nombreuses négociations législatives, la nouvelle réglementation entrera en vigueur le 25 mai 2018. De quoi s’agit-il exactement ? À qui s’adresse-t-elle ? Quelles sont les obligations pour les entreprises ? Les sanctions ? On vous explique tout dans cet article.
Le RGPD (Règlement général de protection des données) est le nouveau règlement européen sur la protection des données. Publié en mai 2016, il compte plus de 88 pages et a pour objectif de renforcer le droit des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.), d’encadrer les acteurs de la donnée, et de réguler les traitements de données par les entreprises en renforçant la coopération entre les autorités de protection.
La donnée peut s’entendre de différentes manières, on utilise ce terme pour la collecte, l’enregistrement, le stockage, la recherche, la transmission, le blocage ou encore l’effacement des données relatives aux personnes physiques et morales.
La réglementation s’appliquera à toutes les entreprises qui collectent, traitent et exploitent des données personnelles comme les agences de marketing ou de communication, les intégrateurs de logiciels, les sociétés qui travaillent sur la sécurité informatique et toutes les entreprises et prestataires de services informatiques.
Le RGPD 2018 repose sur 4 principes qui sont le consentement, le droit des personnes, la transparence et la responsabilité.
Le consentement
Dès l’entrée en vigueur de la réglementation, les individus devront donner leur consentement quant à la collecte et le traitement de leurs données personnelles. En d’autres termes, seuls les contacts “opt-in” pourront désormais être exploités.
Le droit des personnes
Grâce à la nouvelle réglementation, les individus bénéficieront de nouveaux droits :
La transparence
Les entreprises devront transmettre aux individus des informations claires et sans ambiguïté sur la façon dont leurs données seront exploitées. Les utilisateurs devront systématiquement pouvoir donner leur accord ou refuser un traitement de leurs données.
La responsabilité
Le principe de responsabilité implique que le responsable du traitement des données d’un individu doit être capable de démontrer que la réglementation liée au RGPD 2018 est respectée. Par exemple, une entreprise peut mettre en place des nouveaux outils de stockage et des processus davantage axés sur l’accompagnement et la traçabilité pour montrer qu’elle se porte responsable des données qui lui ont été fournies.
La nouvelle réglementation du RGPD 2018 impose un certain nombre d’obligations aux entreprises :
En France, le marketing B2C est supposé fonctionner en “opt-in”, c’est à dire que la personne qui reçoit un email doit avoir donné au préalable son accord pour figurer dans une base de données. À l’inverse, le marketing B2B fonctionne souvent sur un mode “opt-out’, à savoir que la personne qui reçoit un email doit avoir la possibilité de demander à être supprimé d’un fichier de mailing. Le RGPD 2018 souhaite que les entreprises fonctionnent uniquement sur du double “opt-in”, qui consiste à demander une confirmation par email à chaque internaute ayant rempli un formulaire sur votre site web. Pour que les internautes valident leur consentement, ils devront cliquer sur un lien dans l’email de confirmation. Ainsi, vous pourrez prouver que vos contacts ont bien validé un email concernant le traitement de leurs données personnelles.
Les entreprises ont pour obligation de notifier la CNIL sous 72h ainsi que les personnes dont les données auraient été soumises à une violation. Les utilisateurs pourront également demander réparation des préjudices qu’ils ont subi.
Dans le cas où une entreprise ne respecterait pas la réglementation, des sanctions administratives sont prévues allant du simple avertissement à une amende pouvant atteindre 20 millions d’euros ou 4% du chiffres d’affaires de l’entreprise.
Si le RGPD 2018 peut sembler quelque peu sévère, il renforce les droits des utilisateurs et permet aux entreprises d’avoir une traçabilité des données et d’être en accord avec les souhaits des utilisateurs. Cette mise en conformité est à la fois nécessaire pour la sécurité des données mais permet aussi de préserver et de garantir les droits des individus.