Qu’est-ce que le RGPD (ou GDPR, en anglais) ?

Le RGPD (ou GDPR) est le Règlement Général pour la Protection des Données (ou General Data Protection Regulation), une nouvelle réglementation européenne qui vise à renforcer la protection des données personnelles.

Une nouvelle réglementation en matière de protection des données : pour quoi faire ?

Les objectifs du législateur européen exprimés à travers le Règlement Général pour la Protection des Données (RGPD) sont multiples. Il s’agit de créer un cadre renforcé et harmonisé de la protection des données tenant compte des récentes évolutions technologiques (Big Data, objets connectés, Intelligence Artificielle) et des défis qui accompagnent ces évolutions. L’individu est placé au cœur du dispositif légal et voit ainsi ses droits renforcés (consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l’effacement, etc.).

Sous l’impulsion du RGPD sont également consolidés les devoirs et responsabilités de toute la chaîne d’acteurs, du responsable de traitement aux partenaires commerciaux en passant par les sous-traitants fournisseurs de services.

Les nouveaux principes du RGPD

Cette responsabilité s’appuie notamment sur les principes de « Privacy by Design » et « d’accountability ». Concrètement, cela signifie que chaque entreprise doit se doter d’une politique de protection des données globale en s’assurant, dès le moment de sa conception, que le nouveau service qu’elle s’apprête à lancer sur le marché et qui va lui permettre de collecter des données est bien conforme à la réglementation.

Il s’agit de responsabiliser chaque acteur en l’obligeant à s’engager dans une démarche globale vertueuse visant à la protection de la vie privée. Et les sanctions elles-aussi se renforcent. Alors qu’il y a peu, la CNIL ne pouvait aller au-delà d’une amende de 150 000 euros, elle peut désormais infliger des sanctions pouvant s’élever à 20 millions d’euros et 4% du chiffre d’affaires mondial…

Qui est concerné par le Règlement Général sur la Protection des données (RGPD) ?

Chaque citoyen européen a la possibilité d’imposer l’application du RGPD et de faire valoir les droits et garanties qui l’accompagnent auprès de toute entreprise (européenne ou non) qui collecte ses données. L’enjeu est de taille car il s’agit ici d’imposer notamment aux géants américains et asiatiques l’application des mêmes règles contraignantes que leurs plus modestes concurrents européens, dès que les données d’un citoyen européen sont collectées et traitées. TPE/PME, sociétés du CAC 40, banques, assurances, cybermarchands, SSII, fournisseurs de services SaaS, exploitants de MarketPlace, éditeurs d’applications mobiles ou autres dispositifs connectés, etc. tous sont concernés par le RGPD dès lors que des traitements de données à caractère personnel sont effectués. Il est intéressant ici d’observer – car c’est une vraie révolution du Règlement – que l’on est passé d’un système de responsabilité à la logique plutôt verticale (le responsable du traitement endossait une part quasi-totale du risque juridique) à un système de responsabilité plus horizontal qui place les responsables de traitements et leurs sous-traitants sur un pied d’égalité vis-à-vis des sanctions en cas non-respect de la réglementation.

Il convient également de préciser que le secteur privé n’est pas le seul concerné, l’ensemble du secteur public est également assujetti aux règles contraignantes du RGPD.

Comment être en conformité avec le Règlement Général sur la Protection des données (RGPD) ?

Se mettre en conformité avec le RGPD suppose de définir au niveau de l’entreprise une Gouvernance de la Data intégrant la brique juridique à chaque étape de la conception et du lancement de nouveaux services impliquant des traitements de données. Parmi les exemples de mesures nouvelles et déterminantes pour se prémunir contre d’éventuelles sanctions :

• Désigner un Délégué à la protection des données(DPO en anglais), pilier central de ces différentes mesures,
• Etablir une cartographie des traitements de données mis en œuvre et réaliser le Registre des Activités de Traitement,
• Renforcer son dispositif contractuel concernant les garanties de confidentialité,
• Assurer en interne la mise en place d’un Référentiel Sécurité adéquat et mis à jour (Charte Utilisateurs des SI, Politique d’habilitation, Politique de gestion des incidents etc.),
• Réaliser des études d’impact.

Les études d’impact ont en effet vocation à se généraliser et visent les traitements dits « à risque ». Elles permettent aux responsables de traitements, comme aux fournisseurs de solutions de mise en œuvre desdits traitements, d’être en mesure de justifier du niveau de garantie proposé en termes de protection des données.

Différenciation concurrentielle, renforcement de la confiance des partenaires et clients, la nouvelle réglementation européenne pour la protection des données s’inscrit dans une logique vertueuse tant sur le plan économique que sur le plan de la protection de la vie privée. Définir une politique de protection des données constitue désormais, et sans aucun doute, un investissement clé pour favoriser un développement harmonieux de l’entreprise.

Vous cherchez à mettre votre entreprise en conformité avec le RGPD ? Le cabinet HAAS Avocats, spécialiste des nouvelles technologies vous accompagne.

Demander un devis pour la mise en conformité de votre entreprise