Le Règlement Général sur la Protection des Données (RGPD) expose les entreprises à de lourdes sanctions financières. Comment s’y préparer ? Quels sont les enjeux liés à cette réglementation ?

Il ne reste plus que quelques semaines avant que cette nouvelle réglementation modifie considérablement les rapports entre les entreprises et les individus sur tout le territoire de l’Union Européenne. Le RGPD 2018 renforce certaines règles établies en 1995 et prévoit l’instauration de nouveaux droits comme la Portabilité des données personnelles qui induira mécaniquement la fluidification des flux de données et une normalisation des transferts de données.

Le RGPD, un texte qui renforce considérablement les droits des citoyens

La loi RGPD va instaurer un climat de confiance entre les citoyens et les entreprises puisqu’elle garantira plus de transparence et renforcera « la sécurité et la qualité des systèmes d’information ». Cette nouvelle mesure concerne ainsi toutes les données personnelles des internautes. Le RGPD va tout simplement remplacer les textes nationaux et notamment la loi informatique et libertés (CNIL). Cependant, comme dans la précédente législation, le règlement repose sur trois principes : la loyauté, la licéité et la transparence des traitements.

Sa mise en place prévue le 25 mai 2018 donnera la possibilité à l’internaute de réclamer à l’entreprise toutes les données personnelles qui ont été collectées. Grâce à cette nouvelle loi, l’utilisateur ne devrait logiquement plus recevoir de contenus indésirables dans sa boîte mail. La RGPD marque également la fin de la revente des données vers des organismes publicitaires sans le consentement du citoyen propriétaire de ces informations. Cette loi apporte donc plus de clarté pour l’internaute, et une expérience sur Internet sans mauvaise surprise. Si elle va considérablement simplifier la vie des utilisateurs, elle bouleversera tout autant les habitudes des entreprises, du micro-entrepreneur au grand groupe, sans oublier les organismes publics et associations.

instaurer un climat de confiance entre les citoyens et les entreprises

La protection des données des salariés renforcée

Si le chef d’entreprise n’a pas à demander l’accord de ses salariés pour traiter leurs données, il doit néanmoins les informer de l’existence d’un traitement et des données concernées. Jusqu’à maintenant, peu d’entreprises respectaient cette obligation. Toutefois, cette dernière est désormais généralisée et durement sanctionnée. En effet, l’amende peut atteindre jusqu’à 4 % du chiffre d’affaires de la société. De plus, l’employeur devra indiquer aux salariés sur la base de quel fondement légal il traite leurs données. Plusieurs bases juridiques sont possibles comme l’exécution d’un contrat de travail ou encore le respect d’une obligation légale lorsqu’il s’agit du fichier des salariés. L’employeur devra rappeler au salarié qui exerce son droit d’accès qu’il dispose d’autres droits et notamment le droit à rectification et à effacement des données, le droit de réclamation auprès d’une autorité de contrôle. En outre, le salarié dispose d’un droit d’opposition à la prospection et au profilage ce qu’il signifie qu’il pourra refuser tout traitement de données qui n’est pas lié à la gestion de son contrat de travail et de sa carrière dans l’entreprise. Il peut par exemple s’agir du scoring de profilage utilisé pour mesurer les performances professionnelles des employés. L’article 21 du RGPD 2018 représente un véritable changement pour les entreprises puisque certaines seront obligées d’effacer le traitement des données que le salarié refuse.

Le renforcement du droit d’accès par la RGPD 2018 entraînera inévitablement une hausse du nombre de réclamations des salariés qui souhaitent mieux contrôler l’évolution de leurs carrières. Chaque entreprise devra donc veiller à se conformer pleinement à la loi RGPD dans la tenue des dossiers du personnel et surtout de ne pas laisser dans ces dossiers des informations qui ne devraient pas y figurer. Par ailleurs, ce nouveau droit d’accès nécessitera une mise à jour régulière des procédures internes pour traiter les demandes salariales.

rgpd 2018

Quelles obligations pour les e-commerçants ?

Le RGPD concerne tous les e-commerçants dont certains vivent dans un pays de l’Union Européenne et qui collectent des données personnelles pouvant servir à identifier une personne. Les e-commerçants doivent recueillir le consentement des clients pour les différentes utilisations qui en seraient faites. Un utilisateur peut par exemple accepter de fournir ses coordonnées pour la livraison de ses commandes mais ne pas souhaiter que ces données soient utilisées à des fins marketing. Ainsi, le e-commerçant doit s’assurer que les données personnelles sont collectées et stockées pour le but qui a été consenti. Si l’utilisateur demande à exercer son droit à l’oubli, la plateforme de vente en ligne sera contrainte de supprimer toutes les données sur les lieux de stockage et de sauvegarde. Cette opération s’annonce très lourde techniquement car les données sont souvent sauvegardées dans de nombreux endroits, ce qui rend d’autant plus difficile leur effacement. Pour apporter une vue d’ensemble des données recueillies, la loi RGPD impose l’élaboration d’un référentiel documentaire.

La RGPD CNIL a pour objectif de responsabiliser davantage les « data controllers » et exige un renforcement de leur politique de sécurité. Les données conservées devront faire l’objet d’une gestion stricte des habilitations, une traçabilité des accès, une sécurisation du réseau et des échanges avec les tiers. Il est conseillé de définir contractuellement ces obligations de sécurité entre les parties. Il faut rappeler que les e-commerçants seront responsables si les précautions nécessaires n’ont pas été prises par un sous-traitant ou si ce dernier est fautif.

l’élaboration d’un référentiel documentaire

Le RGPD : une contrainte qui doit être transformée en opportunité

Si de prime abord, le RGPD 2018 ressemble fortement à une contrainte supplémentaire pour les entreprises, notamment par la charge de travail qu’elle induit, elle permettra également de mieux valoriser les données personnelles. L’entreprise doit cartographier les données personnelles détenues par elle-même et ses sous-traitants ainsi que les traitements qui les exploitent, c’est-à-dire les analyser, les trier, les segmenter puis les qualifier. Après avoir réalisé une analyse d’impact et de risques, celle-ci doit ensuite identifier les données les plus sensibles et susceptibles d’être piratées. Ce travail permet à la société d’en tirer profit en améliorant la qualité de la relation client, en augmentant le panier moyen ou encore en valorisant les données qui peuvent faire l’objet d’un traitement inefficace. Toutefois, à quelques mois de l’entrée en vigueur du Règlement Général sur la Protection des Données, certaines organisations ne sont pas prêtes pour ces futures règles.

Nos autres articles peuvent vous intéresser : 

Laisser un commentaire