RGPD : tout comprendre
Le RGPD est le Règlement Général sur la Protection des Données. Le Règlement européen, entré en vigueur le 25 mai 2018, modifie profondément la façon dont doit être traitée la donnée collectée par les sociétés.
Le RGPD vise un très grand nombre d’entreprises et d’activités et c’est pourquoi il est essentiel de bien comprendre de quoi il s’agit exactement pour assurer votre conformité au RGPD. Qu’est-ce que le RGPD ? Sur quelles activités porte-t-il ? Qui est concerné ? Quelles sont les obligations définies et comment les respecter ? Que risquez-vous en cas de non-conformité ? Tour d’horizon du RGPD et de ses conséquences.
RGPD : de quoi parle-t-on ?
La première étape pour bien comprendre le RGPD est de mieux saisir de quoi il s’agit. Qu’est-ce que ce règlement, quel est son rôle, qui concerne-t-il ?
Quel est le rôle du Règlement Général sur la Protection des Données ?
Le Règlement Général sur la Protection des Données ou RGPD est un règlement européen, qui s’applique donc directement à toutes les sociétés dont le siège social est situé dans l’Union Européenne ou qui agissent dans l’UE. Il traite, on l’a dit, de la protection des données que les entreprises ou administrations peuvent collecter sur leurs clients et utilisateurs, pour assurer leurs droits.
Pour avoir un aperçu des points essentiels du RGPD en 3 minutes, vous pouvez consulter notre article express sur le RGPD pour les nuls.
Qu’est-ce que le traitement des données ?
Le RGPD s’appuie sur plusieurs notions pour définir ce qu’est l’activité de traitement de la donnée. Sans entrer dans les détails juridiques du règlement, il faut comprendre les points suivants.
- la donnée personnelle est une information où une personne est identifiée ou identifiable. Cela est en réalité très large puisqu’il peut s’agir d’un nom, d’un numéro de client, d’un pseudo, ou encore d’une série d’informations physiques ou psychiques qui permettent d’identifier une personne ;
- le traitement de la donnée est une opération qui consiste, en clair, à faire quelque chose avec cette donnée. Le RGPD donne une liste d’opérations qui entrent dans le champ du traitement, depuis la simple collecte de l’information jusqu’à son classement, tri à des fins statistiques, ou encore sa communication à des tiers ;
- le responsable du traitement est celui qui décide des moyens et fins du traitement de la donnée. Il peut agir avec l’aide d’un sous-traitant, lui aussi soumis au RGPD.
Qui est concerné ?
Comme vous le savez, le RGPD concerne un très grand nombre d’entreprises, européennes ou non. Il faut comprendre que le RGPD ne limite son champ d’application à aucun critère sur l’entreprise elle-même. Ainsi, les TPE ou PME doivent respecter le RGPD, par exemple. Il n’y a pas non plus de critère de nature de structure (les administrations sont concernées, par exemple) ni de type d’entreprise.
Le critère retenu est celui de l’activité de l’entreprise. Concrètement, dès qu’une société ou une entité collecte et traite de la donnée personnelle, elle est concernée par le RGPD. Rassurez-vous, toutes les entreprises n’ont pas le même niveau « d’exposition » au RGPD ni les mêmes obligations. Celles-ci dépendent du volume de données traitées et de leur niveau de sensibilité.
RGPD : comment se mettre en conformité ?
Le RGPD impose un certain nombre d’obligations aux sociétés pour protéger les droits des citoyens de l’Union. Concrètement, quelles sont les obligations et les moyens à mettre en place ? Quelles sanctions sont prévues ?
Quelles obligations ?
La conformité au RGPD impose de respecter plusieurs points centraux définis par le RGPD.
Sans tous les énumérer, ces points peuvent être rassemblés en grands domaines d’attention.
- Droits des personnes :
Le RGPD implique de respecter le droit des personnes. Cela signifie notamment de respecter les principes de licéité de la donnée, de la finalité, mais aussi les droits à l’oubli, à l’accès à la donnée, etc. Concrètement, cela signifie que la collecte de la donnée doit toujours être consentie et transparente ; que l’utilisation réelle de la donnée doit correspondre à ce qui est annoncée ; que des processus sont mis en place pour permettre à l’utilisateur de demander à accéder à ses données, à les modifier, ou à les supprimer. - Sécurité :
La sécurité de la donnée est évidemment au cœur du RGPD. Il convient de mettre en place des systèmes de protection de la donnée, par exemple un chiffrement des fichiers pour éviter les fuites de données, ou encore une anonymisation de la donnée. - Modération :
On retrouve ici le principe de finalité de la donnée qui veut que l’utilisation de la donnée soit conforme à ce qui est annoncé. Également, la notion de minimisation de la donnée est ici présente : il ne faut collecter que ce qui est utile à la réalisation du traitement souhaité et éviter de recueillir un grand nombre de données « au cas où ». Enfin, les moyens techniques mis en œuvre doivent aussi être proportionnels au but recherché et, par exemple, ne pas mettre en place une collecte trop vaste ou trop poussée.
Quelles sanctions ?
Les sanctions en cas de violation du RGPD varient en fonction de la nature de la violation, de la bonne foi ou non de la société concernée, et du volume et du type de donnée concernée. En réalité, la CNIL, gendarme du RGPD, dispose d’une certaine marge de manœuvre pour établir une politique qui a plus pour but d’accompagner les entreprises et de les pousser à se mettre en conformité que de rechercher la sanction a posteriori.
Cependant, le risque de sanction est important, et la CNIL a par exemple visé spécifiquement les agences immobilières pour leur conformité au RGPD.
De manière générale, il faut retenir que les sanctions peuvent aller pour les cas les plus graves jusqu’à 4 % du chiffre d’affaires global de la société, ou jusqu’à 20 millions d’euros, le chiffre le plus élevé étant retenu.
Comment faire ?
La conformité au RGPD se construit et peut faire l’objet d’une politique interne de long terme. Il peut être obligatoire ou conseillé de nommer un Délégué à la Protection des Données. Salarié ou prestataire, le DPO être chargé du RGPD. C’est lui qui conduit l’audit RGPD, fixe les objectifs, sensibilise les équipes…
Les efforts techniques à conduire dépendent de la société, du volume et de l’utilisation des données recueillies… Chaque cas sera donc unique. Cependant, il existe des solutions techniques, comme celles proposées par Seald, qui permettent de faciliter la sécurisation de la donnée, notamment à travers le chiffrement des données ou encore la gestion des accès aux données.
Better Seald than sorry.