Le RGPD est le Règlement Général sur la Protection des données. C’est une nouvelle loi européenne rentrée en vigueur le 27 mai 2018. Elle concerne l’ensemble des entreprises qui ont une activité dans la la gestion des données personnelles. Ces entreprises peuvent être situées en Europe, ou à l’étranger à partir du moment qu’elles aient une activité qui concerne l’Europe.
Le RGPD sert à encadrer la manière dont les entreprises vont utiliser les données personnelles. Elle vérifie ainsi que les entreprises respectent bien leur conditions d’utilisation.
Qu’est-ce qu’une donnée personnelle ?
Une donnée personnelle est l’ensemble des éléments permettant d’identifier une personne physique de manière direct ou indirecte.
Directement par son nom, prénom ou adresse mail par exemple. Et indirectement par un identifiant, mais aussi ses postes, son activité sur Internet, ses comportements d’achat et bien d’autres encore.
Les données personnelles sont donc des informations très larges.
Qu’est-ce que le RGPD change pour les internautes ?
En réalité, le RGPD ne change pas grand-chose pour les internautes. En effet, beaucoup de principes sur les données personnels étaient déjà présents dans la loi française. Cependant, quelques nouveautés sont quand même rentrées en vigueur avec le RGPD.
Premièrement, l’âge du consentement du mineur pour le traitement de ses données personnelles. Le RGPD explique que chaque état membre doit décider d’un âge limite. En dessous de cet âge, le mineur doit demander l’autorisation à ses parents pour laisser une entreprise traiter ses données. En France, cet âge a été déterminé à 15 ans. Au-dessus de cet âge, l’adolescent peut décider librement de partager ou non ses données. Il peut ainsi décider lui même d’avoir un compte sur un réseau comme Instagram. En dessous, il a besoin du consentement de ses parents. Sans ce consentement, l’entreprise ne pourra pas traiter les données personnelles du mineur.
Deuxièmement, le RGPD permet aux Internautes d’obtenir un droit de portabilité des données. C’ est un principe qui veut que si un internaute utilise un service, celui-ci doit pouvoir récupérer l’ensemble de ses données afin de pouvoir les transférer à un autre service. Par exemple, si je souhaite changer de service de télécommunication, je dois pouvoir récupérer toutes mes données pour pouvoir les transférer à mon nouveau service.
Troisièmement, suite au RGPD, les entreprises doivent désormais avoir des conditions d’utilisation. Ces conditions d’utilisation sont en quelque sorte des règles du jeu qui encadrent la façon dont elles utilisent les données personnelles de manière claires, net et précise, mais surtout brève.
Qu’est-ce que le RGPD change pour les entreprises ?
Le RGPD est un gros bouleversement pour les entreprises. En effet, le RGPD oblige les entreprises d’être capable, à tout moment, de prouver que les données personnelles dont elles disposent respectent trois conditions. Premièrement, que les données personnelles aient été recueillies de manière légale. Deuxièmement que l’entreprise ait le consentement de l’utilisateur quant au recueillement et l’utilisation de ses données. Et enfin que l’entreprise les gardent bien en sécurité et ne les divulguent pas.
Attention, une entreprise n’a pas le droit de traiter des données personnelles si aucun objectif légal et légitime n’a été déterminés. Par exemple, aucune entreprise ne peut vous demander votre religion dans un formulaire si cela n’a pas de but légitime et légal.
Le RGPD est ainsi un ensemble de précautions et de mécanismes que les entreprises doivent mettre en place. Le but du RGPD est donc de mettre des limites à la manière dont nos données sont exploitées et aujourd’hui, c’est un pan majeur de l’économie numérique.
Ainsi, suite au RGPD, toute entreprise traitant des données doit respecter de nombreuses obligations. En effet, elle doit par exemple respecter les droits de la personne concernée (comme le droit à l’effacement des données…). L’entreprise doit également tenir une documentation RGPD soit le registre de traitement des données… Elle doit également garantir la sécurité des données personnelles collectées. Et enfin, elle doit être capable d’informer ses utilisateurs sur les traitements de données effectués (avec une politique de confidentialité par exemple).
Quelles sont les sanctions en cas de non-respect du RGPD ?
En cas de non-respect du RGPD, l’entreprise concernée risque de très lourdes sanctions. C’est la Commission nationale de l’informatique et des libertés (CNIL) qui a la responsabilité de vérifier que les obligations du RGPD soient bien respecter par les entreprises en France. Elle a ainsi la possibilité de sanctionner administrativement les entreprises. Les sanctions prévues par le RGPD peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise.
Mais, ces sanctions peuvent avoir d’autres conséquences pour l’entreprise. En effet, en plus de devoir payer, la sanction peut avoir des conséquences sur la réputation de l’entreprise. Par exemple, dans le cas d’une sanction, la CNIL a le droit de diffuser un document officiel. Celui-ci peut présenter le montant et la raison de l’amende. Cette information circule de manière très rapide sur Internet et impact largement l’image de l’entreprise en question.
La CNIL a par exemple sanctionné une entreprise en infraction avec le RGPD. Celle ci a reçu une amande à hauteur de 500 000 € pour avoir effectué du démarchage téléphonique illégal. En effet, l’entreprise n’a pas respecté les droits des personnes sollicitées.
