GDPR : Les principaux aspects pour une meilleure compréhension

Posté le 12/12/2017

Le règlement général européen sur la protection des données personnelles (RGPD ou GDPR en anglais) entre en vigueur le 25 mai 2018. Le compte à rebours a bien commencé. Or, peu d’entreprises sont aux normes des différentes règles.

Par exemple, selon un audit effectué par Converteo auprès d’annonceurs, seulement 6% de leur site internet étaient conformes au RGPD.

Un retard plutôt inquiétant et qui peut s’expliquer en partie par le manque de connaissances des entreprises et des personnes en général sur le sujet.

 

Cet article vous donnera les principaux aspects du règlement afin d’en percevoir les tenants et aboutissants.

 

 

Qui est concerné par le GDPR ?

 

Le règlement n’est pas sans conséquences pour les petites et moyennes entreprises. En effet, c’est une erreur de croire que seules les multinationales sont concernées.

En réalité, toutes les entreprises collectant des données à caractère personnel, que ce soit des données sur des clients ou sur des prospects doivent appliquer le GDPR.

Cela englobe les entreprises mais également les administrations, les associations, les collectivités, les syndicats d’entreprise.

 

 

Quelles sont les principaux aspects du règlement ?

 

Le GDPR permet aux clients de bénéficier d’un meilleur contrôle sur leurs données personnelles.

 

Les entreprises devront systématiquement demander l’accord des intéressés pour pouvoir gérer leurs données personnelles. Ceci est vrai pour les nouveaux clients et prospects, mais également pour ceux dont les entreprises ont déjà leurs données personnelles en leur possession.

 

Les personnes devront pouvoir bénéficier principalement de deux droits :

 

- Le droit de rectificationqui laisse la possibilité aux personnes de demander la modification des informations inexactes les concernant.

- Le droit à l’oubli qui désigne les revendications légitimes d'une personne à ne pas voir des informations sur son passé interférer avec sa vie actuelle.

 

Les entreprises doivent également :

 

- pouvoir justifier de la collecte des données personnelles. Celle-ci se doit d’être fait dans un objectif clair et justifiable.

- procéder à des suppressions régulièrement pour les données anciennes et mettre en place un système de sécurité fiable.

- tenir un registre permettant de définir quelles sont les données dont elles disposent, leur localisation, la finalité de son obtention, son mode de gestion, son processus de suppression, en somme, tous les aspects du traitement de la donnée personnelle de son obtention à son transfert ou sa suppression.

- définir un processus en cas de vol de données, et être capables d’y remédier tout en le déclarant au CNIL.

 

Tous ces éléments impliquent une organisation qui passe par la nomination d’un DPO (Data Protection Officer) qui sera en charge de la conformité au règlement. Celui-ci aura un rôle central : celui d’informer, de conseiller le responsable de traitement des données personnelles, les sous-traitants mais également les employés qui devront pour la plupart, adapter leur travail après le 25 mai.

 

 

 

Quelles sont les sanctions en cas de non-conformité ?

 

Le GDPR prévoit deux seuils en cas de non-conformité :

- Une amende de 10 à 20 millions d’euros

- Ou 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise en question

 

 

 

Des sanctions qui devraient alarmées les détenteurs et gestionnaires de données personnelles et les motiver à une mise en conformité rapide.