Souvent le progrès technologique notamment numérique a une répercussion sur notre sphère privée voire notre intimité. Sachez que chaque fois que vous allez en ligne – que ce soit pour ouvrir un compte, participer à un sondage, télécharger un document ou pratiquement toute autre action, les organismes sur internet recueillent des données à votre sujet. Plus souvent que nous ne le souhaitons, ces données sont partagées avec d’autres entreprises ; comme des groupes d’annonceurs, des analystes de données, etc. Normalement, en tant qu’individu, nous ne voulons pas que les PME collectent nos données privées à notre insu. Malheureusement ce fut la donne du monde digital jusqu’à présent! A partir du 25 mai prochain, le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne entrera en vigueur. Ce règlement change radicalement la protection de la vie privée et des données personnelles dans le monde internet. C’est pourquoi ces derniers jours vous recevez certainement beaucoup d’emails des différents services digitaux que vous utilisez comme de la part de Google, Facebook, et/ou vos prestataires société d’emailing.

Cette législation phare ouvre la voie à de meilleures pratiques de protection des données en l’imposant indirectement à toutes les entreprises. Celle-ci apporte une approche standardisée à la protection des données à travers l’Union Européenne assurant la protection des données pour tous les citoyens Européens.

Cette loi n’a pas un seulement un impact pour les PME basées dans l’UE mais pour toutes les organisations qui recueillent des données d’un citoyen européen qu’importe leur localisation. La mise conformité est obligatoire et les sanctions sont sévères. Par conséquent, il est essentiel que toutes les PME s’activent dès aujourd’hui à se conformer à la RGPD.

RGPD dès le 25 mai 2018 en Suisse

La première étape de cette mise en conformité est de comprendre la loi. Ainsi commençons à regarder en détails les points clés de cette réglementation :

Le RGPD remplace la directive actuelle sur la protection des données

Après 4 années de délibérations intenses, l’Union européenne (UE) a décidé de remplacer sa directive 95/46 / CE, vieille de deux décennies. Cette directive était ouverte à l’interprétation par les différents pays de l’UE. Par conséquent, chaque État membre qui opérait en vertu du règlement de 1995 sur la protection des données avait ses lois nationales concernant la protection des données. Le RGPD supprimera ces interprétations nationales. Elle est conçue pour protéger les données personnelles et la vie privée des citoyens de l’UE pour toutes transactions au sein des 28 États membres. Le RGPD réglemente également l’exportation de données personnelles en dehors de l’UE. Ceci implique que toutes les PME opérant à l’extérieur de l’UE, mais commercialisant leurs produits et services auprès des citoyens européens, ou contrôlant le comportement des citoyens de l’UE, doivent s’y conformer d’ici la fin du mois de mai 2018.

En d’autres termes, si vous collectez ou prévoyez de collecter des données de citoyens Européens et quel que soit votre lieu d’implantation, vous devrez « mettre en oeuvre des mesures techniques et organisationnelles appropriées » pour vous mettre en conformité avant le 25 mai.

Les éléments clés de la RGPD

Le RGPD contient 11 chapitres et 99 articles. Il spécifie les principes concernant le traitement des données personnelles, la légalité du traitement des données personnelles et les conditions du consentement concernant le traitement des données personnelles (y compris le consentement des mineurs). Elle fixe également des conditions sur le traitement de catégories particulières de données à caractère personnel (données sensibles, données génétiques et données biométriques) et le traitement de données à caractère personnel en relation avec des condamnations pénales et des infractions. Si vous voulez des détails sur les sujets abordés dans chaque chapitre, vous pouvez visiter le site officiel de la RGPD.

En résumé, voici quelques-uns des éléments clés que nous avons extraits du PDF officiel du Règlement général sur la protection des données:

Consentement

Le RGPD rend le consentement en un consentement « explicite » et « univoque ». Il doit être « donné librement », et les organisations doivent être capables de démontrer comment et quand ils ont obtenu ce consentement.

Droit d’être informé

Lorsqu’une organisation demande à une personne des données personnelles, elle devra fournir des informations, de manière claire et gratuite, sur le but de la collecte de données, sur la manière dont ces informations seront traitées, et combien de temps les données seront stockées et si les données seront transférées à l’international.

Droit d’accès

Le droit d’accès donne aux personnes ou aux personnes concernées la possibilité de demander et d’accéder aux informations d’une organisation sur la manière dont leurs données sont traitées. S’ils exigent des détails sur les données, l’organisation doit être en mesure de fournir gratuitement une copie de ces informations dans un délai d’un mois. Cependant, l’organisation peut facturer des « frais raisonnables » si une demande est jugée non fondée, excessive ou répétitive.

Droit de rectification

Si des informations inexactes ont été collectées, cette personne peut demander de les corriger par un organisme. L’entreprise doit s’y conformer sans délai.

Droit à l’effacement

Si une personne retire son consentement, elle peut demander à l’entreprise d’arrêter d’utiliser ses données personnelles lorsqu’elle ferme son compte. C’est une extension du « droit à l’oubli » qui existait auparavant. Si les données ne sont plus nécessaires pour les raisons pour lesquelles elles ont été collectées, l’entreprise doit les effacer. Il y a des exigences supplémentaires lorsque la demande d’effacement concerne des données personnelles de mineurs. La loi énumère certaines conditions lorsque certaines organisations peuvent conserver des données pour une période plus longue. Noté que la RGPD autorise des exceptions dans les cas où les données sont traitées pour servir l’intérêt public.

Droit à la limitation du traitement

La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque les données sont inexactes ou achetées illégalement. L’organisation est tenue de vérifier l’exactitude des données ou de restreindre l’utilisation si nécessaire. En outre, l’organisation doit informer l’individu une fois que la restriction sur le traitement est levée.

Droit à la portabilité des données

Ce droit permet à la personne concernée d’obtenir et de réutiliser ses données personnelles pour ses propres besoins à travers différents services. Il leur permet de déplacer, de copier ou de transférer facilement des données personnelles d’un environnement informatique à un autre d’une manière sûre et sécurisée, sans entrave à la convivialité.

Droit d’opposition

Si une personne demande à savoir si ses données sont traitées dans l’intérêt du public ou d’autres intérêts « légitimes », une organisation devra démontrer des motifs impérieux de traitement au nom de ces intérêts. Cet article donne également le droit de restreindre le traitement de leurs données pour le marketing direct.

Délégué à la protection des données (DPO)

Dans certains cas, une organisation peut désigner un délégué à la protection des données (DPO). Le DPO doit être associé à toutes les questions de protection des données à caractère personnel. Ses principales missions sont de contrôler le respect du règlement, de conseiller le responsable des traitements sur son application et de faire office de point de contact avec l’autorité de contrôle, de répondre aux sollicitations de personnes qui souhaitent exercer leurs droits.

Notification en cas de fuite de données

Les organisations doivent signaler toute violation de de données personnelles. Ceci est une faille de sécurité qui peut mener à la destruction, la perte, la modification et la divulgation ou l’accès non autorisé aux données personnelles. En cas de violation de données personnelles, l’entreprise doit notifier l’autorité de contrôle compétente dans les 72 heures suivant sa découverte.

Sanctions

La RGPD donne aux individus un meilleur contrôle sur leurs données personnelles. Il impose également des sanctions sévères à toute entreprise qui ne respecte pas ses règles. En effet, un des éléments les plus importants et les plus évoqués de la RGPD sont les sanctions en cas de non-conformité et violation. Discutons-les en détail.

 

Les sanctions de la RGPD: €20 millions ou 4% de son chiffre d’affaires brut global

Les sanctions de la RGPD sont beaucoup plus sévères que les pénalités imposées actuellement. Avec son entrée en vigueur, une organisation ne traitant pas correctement les données d’un individu peut recevoir une amende salée. Si les conditions d’application de ce règlement exige que la société ait un délégué à la protection des données mais ne l’a pas, elle peut être amendée. Si elle commet une violation, elle peut être amendée.

Cependant, les régulateurs mentionnent qu’ils seront plus cléments avec les entreprises qui ont montré une connaissance de la RGPD et ont essayé de le mettre en œuvre par rapport à celles qui n’ont pas fait d’effort de mise en conformité.

Une entreprise jugée non conforme ou ne respectant pas ses obligations d’enregistrement, de sécurité, de notification de violation et d’évaluation des atteintes à la vie privée se verra en cas de non-respect infliger des sanctions financières allant jusqu’à 2 % du chiffre d’affaires mondial annuel d’une entreprise ou 10 millions d’euros ; le montant le plus élevé étant retenu.

Une entreprise qui viole les obligations légales de traitement, d’absence de consentement, de droits de la personne concernée et de transferts de données transfrontaliers se verra doubler cette sanction ; soit 20 millions d’euros ou 4% de son chiffre d’affaires brut global ; le montant le plus élevé étant retenu.

En d’autres termes, les jours ou en pouvait négliger les aspects sur la protection des données privées et payer de petites amendes est révolu! Dès le 25 mai 2018, il sera indispensable que toutes les PME prennent des mesures techniques et organisationnelles appropriées pour détecter, traiter et signaler une violation.

 

Comment préparer votre PME à la RGPD ?

Chez WSI, nous avons mis à votre disposition une check-list en 12 points. En les suivant, vous préparez votre PME à la mise en conformité RGPD. Cette check-list est inspirée du guide de l’OIC (Bureau du Commissaire à l’information).

Dès le début de cette check-list, nous vous aidons à sensibiliser les personnes clés de votre PME à la nouvelle loi et à ses principales caractéristiques et son l’impact. Nous recommandons également les mesures que votre entreprise doit prendre en compte, comme la documentation des données personnelle, l’examen et la mise à jour de vos procédures de collecte et le traitement des données et la gestion des consentements.

Une fois mis en place, la RGPD aura un impact variable sur les entreprises et les organisations. Certaines entreprises (mais pas toutes) peuvent avoir besoin des services d’un délégué à la protection des données (DPO). Le DPO sert de point focal pour les activités de protection des données en cours pour leur entreprise. Les taches principales du DPO sont :

  • influencer le processus de prise de décision pour contacter les régulateurs
  • maintenir une bonne connaissance du traitement des données personnelles dans l’organisation
  • surveiller la conformité à la RGPD et
  • améliorer le traitement de la confidentialité et la protection des données.

Les PME doivent embaucher un DPO si elles répondent à l’un des critères suivants :

  • Employer plus de 250 personnes
  • Appartenir au secteur public dans les pays européens,
  • Réaliser un suivi régulier et systématique de personnes à grande échelle,
  • Traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

La RGPD peut affecter votre PME de plusieurs façons, au-delà de la sécurité des données et des politiques. Les entreprises qui seront touchées doivent demander de l’aide d’un spécialiste ou d’un conseiller juridique. Au minimum, ils ont besoin d’un plan d’action clair qui inclut une formation sur la RGPD, la révision de leurs flux de données et des mécanismes de traitement de ces données, la prévisualisation de leurs pratiques et politiques de confidentialité, etc. Afin de commencer votre mise en conformité, nous vous invitons à télécharger notre Check-list en « 12 points à vérifier pour mettre en place le GDPR  » en cliquant ici.

Checklist RGPD WSI

 

Notez que ce blog fournit des informations préliminaires concernant la RGPD. WSIgabs n’est pas une autorité légale pour la RGPD. Nous offrons seulement des conseils sur les meilleures pratiques à suivre lors de la réalisation de toute initiative de marketing digital. Si vous désirez des conseils sur l’interprétation juridique de cette loi, contactez votre conseiller juridique ou un spécialiste RGPD.

 

Source

 

Au sujet de l’auteur :

Gabor Markus est un expert en Business Development avec +15 années d’expérience. C’est un stratégiste avec une capacité démontrée pour identifier des opportunités de marché, créer des solutions innovantes et accélérer la croissance. Gabor conseille les PME sur l’utilisation des technologies digitales pour accélérer les ventes et créer une culture de l’innovation.