RGPD – De quoi il s’agit concrètement pour les entreprises ?

icones dossiers et fichiers texte "RGPD" en haut à gauche sur fond jaune

Le Règlement général sur la protection des données (RGPD) est désormais en vigueur depuis mai 2018, mais il reste assez méconnu. Voici une FAQ pour répondre aux principales questions que vous vous posez.

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD ou GDPR, pour General data protection regulation en anglais) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces éléments sur lesquels les entreprises s’appuient pour proposer des services et des produits. Ce texte couvre l’ensemble des résidents de l’Union européenne.

RGPD : Quel en est l’objectif  ?

L’objectif du RGPD est d’être le nouveau texte de référence dans l’Union européenne au sujet des données personnelles, en remplaçant une directive datant de 1995.

Donnée personnelle : De quoi il s’agit ?

Une donnée personnelle (ou donnée à caractère personnel) est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.

Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés :

Une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la CNIL et dont l’intérêt public est avéré.

RGPD : Qu’est qui change pour l’internaute ?

Du point de vue de l’internaute, le RGPD met en place ou conforte un certain nombre de protections. Il faut par exemple que les entreprises récoltent au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles, ou qu’elles s’assurent que les enfants en-dessous d’un certain âge aient bien reçu l’aval de leurs parents avant de s’inscrire sur un réseau social.

Le RGPD inclut aussi une reconnaissance d’un droit à l’oubli pour obtenir le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée, le droit à la portabilité des données, pour pouvoir passer d’un réseau social à l’autre, d’un FAI à l’autre ou d’un site de streaming à l’autre sans perdre ses informations, le droit d’être informé en cas de piratage des données.

Les internautes peuvent aussi être défendus par les associations dans le cadre d’une action de groupe en vue de faire cesser la partie illicite d’un traitement de données.

Un accord parental est requis pour inscrire un jeune sur un réseau social.

RGPD : Qui doit s’y conformer ?

Toute entité manipulant des données personnelles concernant des Européens effectuer sa mise en conformité RGPD, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association. Attention : le texte ne s’applique pas qu’aux organisations établies sur le territoire du Vieux Continent. Un groupe américain, japonais ou chinois qui collecte et mouline des données personnelles européennes doit aussi s’y conformer.

Des géants comme Google, Facebook, Amazon ou encore Uber doivent donc tenir compte des modalités du RGPD s’ils veulent continuer sans risque à fournir des biens et des services à la population européenne. La taille de l’entreprise, son secteur d’activité ou son caractère public ou privé n’entre pas en ligne de compte. Même une petite startup qui se lance dans de l’e-santé doit aussi être dans les clous.

RGPD : Quelles sanctions en cas de non respect des contraintes ?

Les organisations ont tout intérêt à respecter à la lettre le RGPD car les plafonds des sanctions sont particulièrement élevés : en cas d’infraction, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues pour l’organisme fautif, sachant que c’est le montant le plus élevé qui est retenu entre les deux cas de figure.

Il faut imaginer ce que cela peut représenter pour des géants du net si une procédure est lancée contre eux. L’amende pourrait atteindre des dizaines ou des centaines de millions de dollars, voire davantage. Il convient aussi de noter qu’une société doit veiller à ce que son sous-traitant reste bien dans les clous de la loi, sous peine d’en subir les conséquences, du fait de sa qualité de responsable du traitement.

Cela étant, les multinationales ne sont pas nécessairement les plus exposées : si ce sont elles qui risquent les amendes les plus fortes, elles ont des détachements de juristes et d’experts qui travaillent déjà à plein temps depuis des mois pour être absolument dans les clous du RGPD. Le risque est en revanche plus grand pour les entités plus petites, comme une TPE, une PME ou une association.

RGPD : De quels moyens dispose la CNIL ?

En France, la Commission nationale de l’informatique et des libertés (CNIL) est l’autorité de référence pour gérer le RGPD. Elle dispose d’un budget annuel supérieur à 17 millions d’euros et compte dans ses rangs environ 200 personnes. Sur le temps long, c’est-à-dire en regardant l’évolution des moyens et des effectifs de la CNIL sur plusieurs années, il y a une hausse qui est réelle.

L’arrivée du RGPD a toutefois convaincu le gouvernement de renforcer un peu plus les moyens de la CNIL, en permettant à l’autorité administrative indépendante d’ouvrir 15 postes supplémentaires afin qu’elle ait « les moyens d’assumer ses nouvelles missions ». Une mesure nécessaire pour absorber la hausse du volume des plaintes, qui a bondi de 56 % depuis l’application du RPGD.

Marie-Laure Denis, la nouvelle présidente de la CNIL. // Source : DR-CSA

Actions en cours

Depuis le 25 mai 2018, deux grands recours s’appuyant sur le RGPD ont été lancés : le premier a été enclenché par le juriste autrichien Maxilimilian Schrems, véritable bête noire des géants du Net pour son activisme en faveur de la protection des données personnelles. Dès le jour J, il a lancé des actions contre Google et Facebook (dont ses filiales WhatsApp et Instagram) pour une mauvaise collecte du consentement préalable.

L’autre action à relever est celle menée par La Quadrature du Net, même si l’approche est un peu différente. En effet, l’association française a annoncé en avril vouloir faire une action de groupe contre Google, Apple, Facebook, Amazon et Microsoft. Là encore, ces entreprises sont accusées d’obtenir incorrectement le consentement des internautes au regard du RGPD.

Dans un registre moins judiciaire, il y a aussi l’intervention de l’UFC-Que Choisir qui reproche aux grandes entreprises américaines (Google, Facebook et Microsoft) de faire usage de tactiques comportementales et de design pour orienter l’usager quand il se trouve dans les réglages des paramètres de confidentialité. L’association a alerté la CNIL sur ces pratiques.

Vous souhaitez en savoir plus? N'hésitez plus, contactez nous.