Le 25 mai 2018 marque l’entrée en vigueur du RGPD : Règlement Général sur la Protection des Données. Cette réglementation européenne vise à harmoniser le traitement de nos données personnelles dans tous les pays de l’Union, mais aussi, bien sûr, à renforcer largement leur protection. Petit résumé de son impact sur l’activité des entreprises, notamment sur internet.
Le RGPD est une réforme de grande ampleur. Elle a été rendue en grande partie nécessaire par la digitalisation croissante des activités, comme par exemple l’avènement du Big Data. Elle concerne les données relatives aux employés de l’entreprise, à ses clients et fournisseurs, mais aussi les données collectées via son site internet.
Nos données personnelles stockées sur des systèmes informatiques seront ainsi mieux protégées. Elles ne pourront, en théorie, plus être utilisées sans notre autorisation. A condition, bien sûr, que les entreprises et sites internet jouent le jeu…
Mais les fortes amendes prévues en cas d’infraction devraient les y inciter (jusqu’à 4 % du chiffre d’affaires annuel pour une entreprise).
Redonner aux citoyens / internautes la maîtrise de leurs données personnelles
Les dispositions mises en place par le RGPD sont très nombreuses et détaillées. Voici quelques exemples de ses grands principes. Nous citons en particulier ceux qui s’appliquent au Web, et notamment à l’activité des sites e-commerce.
- Chaque entreprise doit nommer un DPO (Data Protection Officer), chargé de garantir le parfait respect du RGPD
- Les données personnelles doivent être protégées efficacement du vol, de l’altération et de la destruction, via des procédés techniques et une organisation dédiée
- Dans le cadre du droit à l’oubli, les données personnelles collectées doivent pouvoir être modifiées ou supprimées très rapidement sur demande
- Leur propriétaire doit rester identifiable à tout moment
- Interdiction de collecter des données personnelles sans le consentement du client. Gare aux formulaires internet peu explicites !
- Pour avoir le droit d’utiliser des données personnelles, l’entreprise doit avoir précisément informé l’utilisateur de cette utilisation AVANT de les collecter
- Cette information doit être formulée de façon claire et facilement compréhensible
- Sur demande d’un utilisateur, l’entreprise doit lui fournir les données personnelles qu’elle a récoltées à son sujet
- Il est absolument interdit de traiter et réutiliser des données de nature confidentielle ou sensible (sauf en cas d’autorisation explicite de la personne concernée et de la CNIL)
- Tout événement (piratage, bug, erreur humaine…) à l’origine d’une perte de données doit être déclaré dans un délai maximal de 72 heures
Entreprise, site internet : comment se préparer au RGPD ?
Il serait trop long de présenter dans cet article toutes les mesures à mettre en place pour respecter à la lettre le RGPD, d’autant qu’elles diffèrent d’une structure à l’autre. Bien entendu, les procédés d’hébergement, stockage, sauvegarde et sécurité des données sont directement concernés. A ce titre, l’accompagnement et les conseils d’une SSII / agence digitale peuvent être nécessaires pour y voir plus clair.
Vous pouvez en tout cas commencer en suivant les six recommandations de la CNIL :
- Désigner un pilote des données personnelles
- Cartographier vos traitements de ces données
- Prioriser les diverses actions à mener
- Gérer les risques identifiés
- Organiser vos processus internes
- Documenter votre conformité au RGPD
