Warning: Constant WP_CRON_LOCK_TIMEOUT already defined in /htdocs/guycouturier.fr/wp-config.php on line 97
Le RGPD : un Big Bang ou une opportunité - Guy Couturier, explorateur d'idées, essayiste

Le RGPD : un Big Bang ou une opportunité

RGPD

Le RGPD, une grande opportunité pour l’image les commerciaux !

RGPD (Règlement général sur la protection des données) 

Le RGPD devait entre-autres mettre un terme aux sollicitations abusives (sans votre accord préalable) par téléphone ! Et vos coordonnées personnelles non transmises (non-revendues) d’une société à l’autre !

Avez-vous remarqué personnellement une baisse sensible des appels, chez-vous, au moment du repas. Ou de la publicité dans votre courrier venant d’entreprises que vous ne connaissez pas ?

Non bien sûr ! Encore une fois : Champions dans l’établissement de normes et de nouvelles règles. Nous sommes aussi les leaders toutes catégories de directives non-respectées ou inapplicables.

En quoi cela consiste ce RGPD ?

De nouvelles formalités auprès de la CNIL sur la gestion de données personnelles. Mises en application depuis le 25 mai 2018.

Un règlement européen (RGPD) qui renforce la responsabilité des organismes commerciaux). Ils devront en effet assurer une protection optimale des données (salariés et clients) à chaque instant. Et pouvoir le démontrer en documentant leur démarche de conformité au RGPD.

Les données personnelles collectées uniquement pour des finalités déterminées, explicites et légitimes, « même un simple identifiant devient une donnée personnelle ».

Le RGPD encadre aussi le profilage qui ne doit pas entraîner de discrimination ou se baser uniquement sur des données sensibles, telles que celles relevant de l’origine ethnique, de la religion, de l’orientation sexuelle ou des opinions politiques.

On passe ainsi d’une obligation de moyens (contrôle à priori) à une obligation de résultats (de l’auto contrôle permanent).

Les vendeurs ne pourront plus invoquer le droit à l’oubli ou à l’erreur.

Autres principes importants du RGPD :

Celui de la co responsabilité. En cas de fuite de données ou de constatation d’un dysfonctionnement. Le prestataire, qui fournit un service informatique deviendra responsable de ce manquement car il se devait de le repérer dans un rôle obligatoire de conseil et d’alerte).

La quasi-totalité des entreprises traitant des données personnelles de citoyens européens resteront concernée par ce texte qui impose aux entreprises de se plier à de nouvelles obligations. Elles devront :

  • Réaliser des analyses d’impact avant la mise en œuvre d’un traitement de données pouvant présenter des risques pour les droits et les libertés des personnes ;
  • Prendre en compte la protection de la sécurité des données dès la conception du traitement de données concerné ;
  • Pouvoir démontrer la conformité du traitement avec le RGPD.

Des révisions du RGPD :

Les entreprises devront réviser un certain nombre de documents existants. par exemple : politique de confidentialité, conditions générales, procédures, normes de sécurité des données, contrats de traitement de données, accords partenaires, sous-traitances.

Elles auront également une obligation d’information en cas de violation de leurs données :

  • Pour cela, elles devront mettre en place les principes de protection des données dès leurs conception et par défaut ;
  • Documenter leurs méthodes de protection des données ;
  • En outre, les entreprises dont l’activité de base « consiste en des opérations de traitement qui exigent un suivi régulier et systématique des données personnelles à grande échelle » ;
  • Elles devront obligatoirement désigner un délégué à la protection des données (en interne ou en externe). Par exemple : désigner un consultant ou un cabinet d’avocat.

Les collectivités (municipalités qui organisent de nombreux traitements de données personnelles : transports, e-administration…) ne seront pas épargnées par le big bang du RGPD, sur la protection des données personnelles. En particulier, les villes, qui organisent de nombreux traitements de données familiales (transports, e-administration, cantines, activités sportives…).

Le droit à l’oubli ou l’effacement de données personnelles :

Se voit renforcer, pour les citoyens Européens. Il peut désormais s’exercer dans les cas où :

  1. Les données deviennent non-nécessaires au regard des finalités pour lesquelles elles ont été collectées.
  2. Le consentement doit s’obtenir dès lors de la collecte des données (ce qui vise les cas des données sensibles).
  3. La personne exerce son droit d’opposition « pour des raisons tenant à sa situation particulière ». Le responsable de traitement doit démontrer l’existence de motifs légitimes et impérieux pour s’y opposer. La personne exerce son droit d’opposition à tout moment dans les cas de prospection et de profilage lié à celle-ci.
  4. Les données ont fait l’objet d’un traitement illicite.
  5. Elles concernent un mineur.
  6. L’effacement prévu par une obligation légale (nouvelle loi ou décision de justice par exemple).

RGPD : Comment se préparer en six étapes ?

  • Désigner un pilote (DPO) : Pour piloter la gouvernance des données personnelles de votre structure, vous ferez apple à un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne. Vous pouvez désigner un « correspondant informatique et libertés » extérieur.
  • Ce DPO doit posséder de solides compétences en droit des nouvelles technologies et en droit des données personnelles. Il doit également avoir une bonne connaissance des TIC ;
  • Cartographier vos traitements de données personnelles de vos salariés et de vos clients. Commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.
  • Prioriser les actions à mener sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

Cette préparation doit aussi inclure :

  • Gérer les risques si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données
  • Organiser les processus internes pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).
  • Documenter la conformité pour prouver votre conformité au règlement. Vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Certains voient le RGPD comme un frein à la personnalisation :

Avec le RGPD, les pseudonymes et le chiffrement vont devenir la norme afin d’assurer l’anonymat des citoyens européens. Le consentement lui se placera au centre de tout. « Le texte dit qu’il faut une affirmation claire de la part des clients ». La façon la plus simple d’obtenir ce consentement est d’envoyer un pop-up à l’internaute dans lequel la société exprime : la nature les données collectées, ainsi que les destinataires.

Des sanctions :

Prévues par le RGPD. Elles comportent d’importantes amendes administratives : jusqu’à 4% du chiffre d’affaires annuel mondial. De quoi faire réfléchir les fautifs !

Jean Lessi, secrétaire général de la Cnil, a tenu un discours plutôt rassurant : « la Cnil ne va pas tirer à boulets rouges sur les entreprises dans les premiers mois, sauf en cas de manquements manifestes et graves ».

Trois types de contrôles possibles :

  • Sur place ;
  • Via une audition, sur convocation ;
  • Via un contrôle en ligne (en vertu de l’article 44 de la loi du 6 janvier 1978 modifiée par la loi Consommation du 17 mars 2014).

Ces contrôles (sans avis préalable) pourront se faire à partir d’un service de communication au public en ligne (par exemple, un site internet), suite à : une plainte d’un tiers ou encore à une demande d’autorisation de traitement. Ils se limiteront à la consultation des données librement accessibles ou rendues accessibles, y compris par imprudence, négligence ou du fait d’un tiers.

Bilan depuis l’instauration du RGPD :

La CNIL a reçu plus de 11 900 plaintes depuis mai 2018. (RGPD le Guide)

Le RGPD impose aux entreprises victimes d’un piratage ou d’une faille de sécurité d’avertir leur autorité de contrôle. Plus de 89 000 notifications ont été adressées à travers l’Europe.

Des plaintes collectives visant Facebook, Apple, Amazon, LinkedIn et Google, ont été transmises à l’autorité de protection des données, où leur instruction est toujours en cours.

Seulement 91 amendes ont été prononcées depuis l’entrée en vigueur du RGPD. En tout, selon l’EDPB : un peu moins de 56 millions d’euros d’amendes infligés lors des premiers mois du RGPD.

IDÉES et CONCEPTS le magazine des idées

Partager:

Poster le commentaire