Le RGPD : un Big Bang ou une grande opportunité d’améliorer l’image des commerçants ?

RGPD (Règlement général sur la protection des données) 

En quoi cela consiste ?

RGPD un casse tete

RGPD un casse tête ?

De nouvelles formalités auprès de la CNIL (2018) seront applicables, à compter du 25 mai 2018.

Un règlement européen (RGPD) qui renforce la responsabilité des organismes (commerciaux). Ils devront en effet assurer une protection optimale des données (salariés et clients) à chaque instant et être en mesure de la démontrer en documentant leur conformité. Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes, « même un simple identifiant est considéré comme une donnée personnelle ».

Le RGPD encadre aussi le profilage qui ne doit pas entraîner de discrimination ou se baser uniquement sur des données sensibles, telles que celles relevant de l’origine ethnique, de la religion, de l’orientation sexuelle ou des opinions politiques.

On passe d’une obligation de moyens (contrôle à priori) à une obligation de résultat (auto contrôle permanent). Nous n’aurons plus le droit à l’erreur.

Autre principe important : la co-responsabilité. En cas de fuite de données ou de constatation d’un dysfonctionnement, le prestataire, qui fournit un service informatique sera responsable de ce manquement car il aurait dû le repérer (rôle obligatoire de conseil et d’alerte).

La quasi-totalité des entreprises traitant des données personnelles de citoyens européens est concernée par ce texte qui impose aux entreprises de se plier à de nouvelles obligations. Elles devront :

  • réaliser des analyses d’impact avant la mise en œuvre d’un traitement de données pouvant présenter des risques pour les droits et les libertés des personnes ;
  • prendre en compte la protection de la sécurité des données dès la conception du traitement de données concerné ;
  • devront, à tout moment, être en mesure de démontrer la conformité du traitement avec le RGPD.

Les entreprises devront réviser un certain nombre d’éléments : politiques de confidentialité, conditions générales, procédures, normes de sécurité des données, contrats de traitement de données, accords partenaires…

Elles auront également une obligation d’information en cas de violation de leurs données. Pour cela, elles devront mettre en place les principes de protection des données dès la conception et par défaut, mais aussi documenter leurs méthodes de protection des données.
En outre, les entreprises dont l’activité de base « consiste en des opérations de traitement qui exigent un suivi régulier et systématique des données personnelles à grande échelle » devront obligatoirement désigner un délégué à la protection des données, par exemple désigner un consultant ou un cabinet d’avocat.

Les collectivités (municipalités qui organisent de nombreux traitements de données personnelles : transports, e-administration…) ne seront pas épargnées par le big bang du RGPD, sur la protection des données personnelles. En particulier, les villes, qui organisent de nombreux traitements de données personnelles (transports, e-administration, cantines, activités sportives…)

Le droit à l’oubli ou l’effacement de données personnelles se voit renforcer, (pour les citoyens Européens) et peut désormais être exercé dans les cas où :

  1. Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
  2. Le consentement était nécessaire lors de la collecte des données (ce qui vise les cas des données sensibles).
  3. La personne exerce son droit d’opposition «  pour des raisons tenant à sa situation particulière ». Le responsable de traitement doit démontrer l’existence de motifs légitimes et impérieux pour s’y opposer. La personne exerce son droit d’opposition à tout moment dans les cas de prospection et de profilage lié à celle-ci.
  4. Les données ont fait l’objet d’un traitement illicite.
  5. Elles concernent un mineur.
  6. L’effacement est prévu par une obligation légale (nouvelle loi ou décision de justice par exemple).

RGPD : Comment se préparer en 6 étapes ?

Pilote de RGPD

Pilote de RGPD

  • Désigner un pilote (DPO) : Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. Vous pouvez désigner un « correspondant informatique et libertés » extérieur.
  • Ce DPO doit posséder de solides compétences en droit des nouvelles technologies et en droit des données personnelles. Il doit également avoir une bonne connaissance des TIC

 

  • Cartographier vos traitements de données personnelles de vos salariés et de vos clients. Commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.
  • Prioriser les actions à mener sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
  • Gérer les risques si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données
  • Organiser les processus internes pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
  • Documenter la conformité pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Certains voient le RGPD comme un frein à la personnalisation.

Avec le RGPD, les pseudonymes et le chiffrement vont devenir la norme afin d’assurer l’anonymat des citoyens européens. Le consentement sera lui au centre de tout. « Le texte dit qu’il faut une affirmation claire de la part des clients ». La façon la plus simple d’obtenir ce consentement est d’envoyer un pop-up à l’internaute dans lequel la société exprime quelles sont les données collectées et quels en sont les destinataires.

RGPD les sanctions

RGPD les sanctions

Des sanctions sont prévues par le RGPD. Elles comportent d’importantes amendes administratives: jusqu’à 4% du chiffre d’affaires annuel mondial. De quoi faire réfléchir les retardataires !

Nul doute que les grands groupes seront prêts à cette date, mais qu’en est-il de la majorité des autres commerçants (e-commerce compris) ?

Jean Lessi, secrétaire général de la Cnil, a tenu un discours plutôt rassurant : « la Cnil ne va pas tirer à boulets rouges sur les entreprises dans les premiers mois, sauf en cas de manquements manifestes et graves ».

 

Trois types de contrôles possibles :

  • sur place;
  • via une audition, sur convocation ;
  • via un contrôle en ligne (en vertu de l’article 44 de la loi du 6 janvier 1978 modifiée par la loi Consommation du 17 mars 2014).

Ces contrôles (sans avis préalable) pourront se faire à partir d’un service de communication au public en ligne (par exemple, un site internet) suite à une plainte d’un tiers ou encore à une demande d’autorisation de traitement. Ils se limiteront à la consultation des données librement accessibles ou rendues accessibles, y compris par imprudence, négligence ou du fait d’un tiers. Alors, à quoi faut-il s’attendre exactement en cas de contrôle de la Cnil après l’entrée en application du RGPD?La

La blockchain publique ne répond pas à toutes les dispositions du RGPD, en particuliers sur l’effacement des données, ainsi que par son fonctionnement horizontal, sans organisme de contrôle. De plus, la blockchain est un protocole, pas un logiciel.

Et vous, serez-vous prêt pour le 25 mai 2018 ?

  • 1
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
    1
    Partage

3 Comments - Add Comment

Reply

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.