Le 25 mai 2018 est entré en vigueur le Règlement Général sur la Protection des Données (RGPD) émanant des institutions communautaires et entré en vigueur dans les 28 pays de l’Union européenne. Ce RGPD (ou GDPR pour General Data Privacy Regulation) vise à améliorer la sécurité de toutes les données privées confiées par les utilisateurs de services en ligne, en contraignant les entités collectant ces données à modifier leurs process et le traitement apporté à celles-ci.
Mais qu’est-ce qu’une donnée personnelle ? Le règlement apporte une définition précise pour la première fois, et délimitant son champ d’application à toute donnée relative à une personne physique identifiée ou identifiable directement ou indirectement à travers cette donnée (adresse, email, âge, sexe…).
Comme tout règlement européen, il est applicable juridiquement directement et obligatoirement dans tous les Etats, sans aucune transcription nécessaire par les institutions législatives nationales. Son application immédiate et notamment les sanctions qu’il prévoit le rendent incontournable, et il est dès lors indispensable d’en maîtriser les impacts sur votre activité, afin de vous mettre en conformité et éviter des sanctions financières pouvant atteindre 4% du chiffre d’affaires, ou 20 millions d’euros pour les infractions les plus graves…
Etes-vous concerné ?
Toute entité juridique quelle qu’elle soit est concernée par l’application du RGPD. Aussi, que vous soyez une association, institution privée ou publique, ou encore une entreprise, vous devez vous conformer à ce RGPD. Il est donc très fortement probable que vous soyez concerné par ces dispositions, si vous collectez d’une manière ou d’une autre des données d’utilisateurs.
Quelle importance pour votre entreprise ?
Avec le risque de sanctions financières non négligeables, le RGPD est indéniablement d’une importance cruciale pour votre activité. En connaître ses principes pour les respecter et donc rester en conformité devient donc indispensable.
Les principales règles et obligations énoncées par le RGPD :
-
- Obligation d’obtenir le consentement exprès de l’utilisateur pour la collecte de ses données
- Obligation de communiquer aux clients l’utilisation faite des données collectées
- Seules les données indispensables pour l’atteinte du but poursuivi peuvent être collectées, et leur restitution ainsi que leur accès devra être garanti à l’issue de la réalisation du but
- Obligation du respect du droit à l’oubli : toute donnée personnelle doit être effacée définitivement sur requête de l’individu concerné, pour l’un des 6 motifs prévus par l’article 17 du RGPD.
- L’entité collectant les données a l’obligation de mettre en place des mesures de prévention afin d’assurer la sécurité et protection des données collectées, donc de mettre en place une politique de sécurisation des données personnelles collectées.
- Au moindre incident, comme par exemple en cas de piratage des données, l’entité sera dans l’obligation d’informer la totalité des personnes concernées par une éventuelle fuite des données.
- L’obligation de permettre la transmission des données personnelles à l’entité du choix de l’utilisateur dont les données ont été collectées, y compris à un concurrent.