Le règlement général sur la protection des données (RGPD) est entré en vigueur depuis mai 2018. Il s’agit de l’application française de décisions européennes visant à protéger les personnes physiques. Cette application sert aussi à leur fournir des éléments contrôlables quant à l’usage qui peut être fait des informations les concernant.
En ce sens, il s’impose à toute entreprise, dès l’instant où celle-ci travaille, prospecte, recherche des clients personnes physiques. Le fait de disposer d’un fichier de prospection pour envoyer une newsletter est caractéristique de la détention d’une donnée personnelle. Cela constitue davantage un traitement de données au sens de la loi.
Donc, toute entreprise est très rapidement concernée ! D’une part, il s’agit d’une part de sécuriser les données au sein de l’entreprise. D’autre part de répertorier les traitements en les inscrivant dans des procédures connues des personnes (newsletter, envoi de mails de prospections…).
Le RGPD, c’est quoi ?
Entré en vigueur depuis le 25 mai 2018, le RGPD est un règlement européen ayant la vocation à remplacer l’actuelle réglementation qui oblige les entreprises qui collectent et traitent des données personnelles à respecter des formalités déclaratives auprès de la Cnil.
En contrepartie de la fin des obligations déclaratives, les entreprises sont responsabilisées : c’est le principe d’ «accountability». Les entreprises auront l’obligation de mettre en œuvre des mécanismes et des procédures internes permettant de respecter les règles relatives au RGPD. Et il faudra justifier du respect de cette obligation.
Quelles sont les données personnelles RGPD ?
Lorsque nous utilisons des services en ligne, notre activité est associée à des identifiants en ligne (adresses IP, cookies…). Ces données peuvent servir à créer des profils et à identifier les personnes. Elles sont utiliser pour leur proposer des biens et des services exploitables sous conditions.
Une donnée personnelle se réfère à toute information rattachée à une personne identifiée ou bien identifiable auxdits données. Sont considérées comme données personnelles, les noms et prénoms permettant une identification directe de la personne concernée. De même un numéro de téléphone, un numéro client, des critères génétiques, économiques, des marqueurs sociaux et culturels. Et plus encore, la voix ou bien l’image d’une personne, entraînant alors son identification indirecte.
De cette manière, une personne physique peut être identifiée à partir d’un croisement de plusieurs données. Par exemple un homme résidant à telle adresse, client de tel magasin, né tel jour, dont le numéro de téléphone est le suivant et dont les cheveux sont marrons. Ou bien à partir d’une seule donnée comme son ADN ou son numéro de sécurité sociale.
Concrètement, dès lors qu’une base de données comprend une ou plusieurs informations précises permettant de remonter à une personne physique pouvant être identifiée via une ou plusieurs de ces informations, il s’agit bien de traitement de données personnelles.
Qui est concerné par le RGPD ?
Le RGPD ne s’applique pas seulement aux relations que les entreprises peuvent entretenir avec des clients ou prospects. Elles ont, en effet, également vocation à s’appliquer au traitement RH des données concernant leurs salariés. De même, le RGPD concerne les sous-traitants dont l’activité est de traiter des données personnelles pour le compte d’autres sociétés.
Quelles sanctions ?
Attention : le non-respect du règlement général sur la protection des données personnelles pourra être sanctionné d’une amende pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise.
RGPD : ce qu’il faut retenir
En raison des enjeux importants de cette mise en fonctionnalité, les entreprises sont fortement conseillées de faire appel à des développeurs informatiques et à leurs conseils.
Les données collectées et conservées sur papier sont également concernées par le RGPD. Donc, il convient de respecter les obligations prévues par la réglementation (consentement, droit à la portabilité, destruction, etc.).