Le RGPD pour les nuls : 3 minutes pour tout comprendre
Le RGPD ou Règlement Général sur la Protection des Données est le règlement européen qui encadre les droits et obligations des entreprises en matière de collecte et de traitement des données personnels des citoyens.
Concrètement, il peut être difficile de comprendre qui est concerné par ce règlement, quelles sont les obligations et sanctions réelles et comment être en conformité avec le RGPD. C’est d’autant plus le cas qu'il concerne un grand nombre d’entreprises dans tous les secteurs, et donc vise des professionnels qui ne sont pas forcément habitués aux secteurs de la donnée et du droit. Pour vous aider à choisir les meilleures solutions pour vous mettre en conformité, nous avons créé ce guide pour tout comprendre sur le RGPD en 3 minutes et l’appliquer facilement au sein de votre société.
RGPD pour les nuls : de quoi parle-t-on ?
On l’a dit, le RGPD est le règlement européen qui vise à garantir la protection des données personnelles des citoyens de l’Union. Concrètement, il faut faire un détour rapide par la théorie pour bien comprendre de quoi on parle.
Le traitement des données, c’est quoi ?
Au sens du Règlement, la donnée personnelle porte sur une « personne physique identifiée ou identifiable ». Plus clairement, une personne est identifiable si elle peut être associée à une identité, par un nom, un pseudo, un numéro, etc.. ou par un ou plusieurs éléments sur son identité psychique, physique, psychologique… La notion de donnée personnelle est donc très large.
Plus précisément, le terme de traitement des données est défini par le RGPD comme recouvrant une série très variée d’opérations qui peuvent être effectuées sur la donnée, notamment la collecte, l’utilisation, l’organisation (statistique, par exemple) ou la communication de ces données à un tiers.
Enfin, il est nécessaire de s’intéresser à une dernière notion, qui est celle de responsable du traitement. Celui-ci est celui qui décide des moyens ou des finalités du traitement de la donnée. Ainsi, même si une société ne traite pas directement la donnée, par exemple parce qu’elle fait appel à un prestataire extérieur pour analyser ses informations clients, elle peut être considérée comme responsable du traitement. Le prestataire sera considéré comme sous-traitant soumis au RGPD d’une façon particulière.
Le RGPD vise donc un grand nombre d’activités et donc, de personnes.
RGPD pour les nuls : qui est impliqué ?
Le RGPD ratisse large et ne vise aucun type ou taille de société particulière pour son champ d’application. Celui-ci est défini uniquement par les activités exercées par la société considérée. Cela signifie notamment que les PME peuvent être soumises au RGPD. Plus précisément, toutes les sociétés qui sont amenées à traiter des données personnelles doivent respecter le RGPD. Il est donc très probable que vous soyez concerné, dès lors que votre entreprise récupère ne serait-ce que le numéro de téléphone ou le nom de vos clients.
Bien entendu, toutes les entreprises ne sont pas soumises aux mêmes obligations ou pour le dire autrement leur « exposition » au RGPD n’est pas la même en fonction notamment de la nature, du volume et du traitement des données qu’elles collectent.
Par exemple, les agences immobilières entrent dans le champ du RGPD et ont été visées particulièrement par la CNIL dans ses activités de contrôle du respect du RGPD.
RGPD pour les nuls : quelles sont mes obligations ?
Notre deuxième phase de guide du RGPD pour les nuls concerne les obligations concrètes qui pèsent sur vous. Que devez-vous mettre en place et que risquez-vous en cas de non-conformité ?
Quelles obligations, concrètement ?
Le RGPD dresse une liste d’obligations pour les sociétés qui traitent des données personnelles de leurs utilisateurs ou clients. Nous vous résumons très brièvement chacun des points essentiels.
- Licéité du traitement : le traitement et la collecte de la donnée doivent être effectués uniquement dans une liste de cas défini par le RGPD. Par exemple, la collecte doit être faite uniquement avec le consentement de la personne concernée par la donnée.
- Finalité du traitement : la donnée doit être collectée pour répondre à un objectif précis et non pas « au cas où » ou en tant que fin en soi. L’utilisation réelle de la donnée doit correspondre à cet objectif.
- Minimisation des données : l’entreprise ne doit collecter et utiliser que les types de données utiles à l’objectif initial (et non des données superflues).
- Protection particulière des données sensibles : les données dites sensibles (par exemple, médicales, financières, etc) doivent faire l’objet d’une protection accrue, via un chiffrement des données par exemple.
- Limitation de la durée de conservation des données : les données doivent être supprimées lorsqu’elles ne sont plus utiles. La durée de conservation de la donnée dépend de la nature des données. Par exemple, la CNIL recommande de supprimer les coordonnées d’un prospect, en l’absence d’échange, au bout de 3 ans.
- Obligation de sécurité : quelle que soit la nature de la donnée concernée, des principes de sécurité doivent être appliqués (chiffrement, limites des accès à la donnée…)
- Transparence : les personnes dont les données sont collectées doivent être informées et consentir à la collecte, mais aussi aux finalités et à l’utilisation qui seront faites de la donnée.
- Droit des personnes : les droits des personnes dont les données sont collectées sont protégés par le RGPD : droit à l’oubli, droit de s’opposer au traitement, droit d’accès à la donnée…
Tous ces principes peuvent faire peur, mais des solutions simples existent pour faciliter une gestion conforme au RGPD des données. De plus, dans certains cas, il est obligatoire de nommer un Délégué à la Protection des Données (DPO) chargé du RGPD qui peut être un employé au sein de l’entreprise ou une personne extérieure.
RGPD : qu’est-ce que je risque ?
Le RGPD prévoit un certain nombre de sanctions en cas de non-respect du RGPD ou d’une violation ponctuelle constatée. Celles-ci peuvent être très importantes puisque, selon les cas, elles peuvent atteindre jusqu’à 4 % du chiffre d’affaires global de la société ou jusqu’à 20 millions d’euros, le chiffre le plus important étant retenu.
Il est donc essentiel de bien s’assurer de respecter le RGPD. Il s’agit d’une part de se mettre en conformité, mais également de s’assurer que les pratiques de la société restent conformes au RGPD sur la durée.
Enfin, des solutions innovantes et simple d’utilisation comme Seald existent pour assurer la conformité de vos opérations avec le RGPD et protéger vos données.
Better Seald than sorry.