Le terme RGPD est apparu ces dernières années et il est beaucoup utilisé dans les médias ou dans le monde de l’entreprise. Ce sigle désigne le Règlement Général sur la Protection des Données soit les lois européennes — votée en 2018 — sur le traitement et la protection des données. Avec cette courte définition il est tout de même compliqué de comprendre tout ce que ce sigle implique. Nous allons donc décrypter le RGPD ainsi que ses enjeux pour les entreprises européennes.
Pourquoi est-il important de protéger nos data?
Avant de voir plus en profondeur ce qu’implique le RGPD, nous pouvons nous poser la question : pourquoi devons nous protéger nos données personnelles, pourquoi avoir créer cette lois?
Il faut savoir qu’une donnée personnelle ou data est toutes les information qui visent à identifié une personne que ça soit de façon direct ou indirect. L’assemblage de ces data créée une identité numérique, une sorte de fiche résumant toutes les information récoltées sur vous sur le web. Les entreprises peuvent également utiliser ces données pour vous influencer et vous vendre leurs produits ou leur services.
Il est donc important de protéger ces données personnelles pour ne pas qu’elles soient public ou récolté par des organismes tiers sans votre consentement. C’est dans ce but que l’Union Européenne à voté le RGPD. L’objectif est de forcer les entreprises à vous informer sur le traitements de vos données mais aussi recueillir votre consentement pour les récolter. Cela prend la forme de document juridique comme la politique de confidentialité mais aussi la forme de cookie pour s’assurer de votre consentement.
A quoi sert le RGPD?
Après avoir compris l’importance de protéger ces données nous allons voir plus en précision comment le RGPD est appliqué et quels en sont les principes.
Les lois RGPD ont pour but premier d’informer les utilisateurs sur la gestion de leurs données. Elles obligent les entreprise à écrire des mentions légales et les rendre accessible aux utilisateurs. Ainsi ils savent quelles données sont collectées, dans quel but, qui aura accès à ces informations, la durée pendant laquelle elles seront conservées, etc. Au sein de l’entreprises ces critères sont marqué dans un registre.
Dans un second temps, les lois RGPD assurent le respect des droits de ses utilisateurs sur la durée. Un tri est effectué de façon récurrente pour s’assurer que les données conservées n’ont pas dépassées. Il faut assurer la transparence et informer les personnes de leurs droits afin de recueillir un consentement éclairé avec toutes les modalités d’annulation.
Finalement la sécurité est un critère indispensable que toute entreprise collectant des données se doit de maitriser. En cas de vol de données il faut informer la CNIL et les personnes concernées. Le RGPD sert donc à encadrer cette protection des données pour assurer à l’utilisateur un respect de ses droits.
Les pratiques à adoptées pour respecter le RGPD
Afin d’assurer un bon respect du Règlement Général sur la Protection des Données plusieurs pratiques doivent être adoptés par les entreprises. Cela permet d’assurer un bon suivi du traitement des donnée et éviter toute erreur involontaire.
Constituer un registre du traitement des données
C’est le premier outil à utiliser lorsqu’on récolte et traite des données. Le registre permet d’avoir une vision d’ensemble du traitement des données. Il est composé de fiches pour CHAQUE activité recenser avec l’objectif de la collecte, la catégorie de donnée utilisée, qui à accès à ses données et leur durée de conservation.
Faire le tri dans les données
Faire le tri dans les données permet de vérifier que les données traitées sont utiles et nécessaires à l’activité de l’entreprise. Cela permet également de vérifier si les bonnes personnes ont accès à ces donné et que la durée de conservation n’a pas été dépassée. Ce tri a pour but de rester fidèle aux registre établis précédemment pour ne pas enfreindre la loi et avoir des amandes.
Quelles sanctions si on ne respecte pas le RGPD?
En cas de nom respect du RGPD plusieurs sanctions peuvent être misent en place. S’il manque des informations dans la politique de confidentialité, n’informant ainsi pas l’utilisateur sur tout ses droits, une amende de 1500€ est prévue pour chaque information manquante.
Dans le cas de toute autre effraction une amende de 20000€ est prévu. Des amendes plus conséquentes peuvent également être distribuées à hauteur de 4% du chiffre d’affaires de l’entreprise ou de 20 millions d’euro.
Ainsi des amendes impressionnantes ont pu être adressé à certaines GAFAM qui ne respectaient pas le RGPD. On peut prendre l’exemple de Facebook en Ireland qui à du payer 60 millions d’euros ou encore Google LLC et Google Ireland qui à eux deux ont du payer 150 millions d’euros de sanction.