RGPD: du changement côté données clients

Pourquoi un nouveau règlement sur la gestion des données personnelles ?

Par le biais du Règlement général sur la protection des données (RGPD), l’Union Européenne entend harmoniser les pratiques en matière de gestion des informations personnelles dans tous les États membres. Il s’agit globalement de protéger les citoyens et les entreprises contre l’utilisation abusive de leurs données nominatives et de simplifier les tâches administratives pour récupérer voire supprimer ces données.

Le règlement impose notamment de nouvelles exigences en matière de consentement. Lorsqu’une entreprise désire traiter les données d’un individu, la demande d’autorisation doit être exprimée clairement. Le consentement doit être obtenu par un acte positif : finis les accords tacites et les cases cochées par défaut. De plus, l’acceptation de la personne doit pouvoir être retirée à tout moment.

À lire également : RGPD : quand le « consentement » chamboule le marketing

Des démarches à entreprendre pour les sociétés

Pour entrer en conformité avec le RGPD et la maintenir, les entreprises doivent :

• Établir un plan de mise en conformité en hiérarchisant les tâches à accomplir ;
• Les entreprises traitant des données sensibles à grande échelle ou traitant un grand volume de données doivent obligatoirement désigner un Data Protection officer (DPO, ou délégué à la protection des données) ;
• Cartographier les données à caractère personnel et tenir à jour un registre des traitements ;
• Mettre en place des actions de sensibilisation et de formation des collaborateurs, une politique de gestion des droits des personnes, ou encore des process de détection et notification de violation des données à caractère personnel ;
• Mettre à jour leurs modèles de contrats pour y faire figurer les mesures relatives aux données personnelles.

Lire par ailleurs : Marketeurs : et si le RGPD était une opportunité ?

Des changements à prendre en compte pour les organisations

Le RGPD apporte des changements importants en ce qui concerne la manière dont les données devront être traitées par les entreprises :

• Privacy by design : la législation sur la protection des données personnelles devra être prise en compte dès la conception d’un projet.
• Notification des failles de sécurité : les responsables de traitement doivent communiquer toute faille de sécurité dans les 72h à l’autorité de contrôle et aux personnes concernées.
• Accountability : toute organisation se voit dans l’obligation de prouver aux autorités de contrôle ainsi qu’aux personnes concernées qu’elle respecte la loi. Pour cela, elle devra s’appuyer sur une documentation interne.
• Périmètre géographique : le RGPD concerne tout organisme qui dispose de son siège social en UE ou qui propose des biens / services aux citoyens de l’UE. Les organismes traitant des données à des fins de suivi de comportement sont également concernées.
• Guichet unique : les entreprises ayant des filiales dans plusieurs pays de l’UE auront la possibilité de ne s’adresser qu’à une seule autorité de contrôle, c’est à dire celle de son établissement principal.
• Responsabilité du sous-traitant : conformément à l’article 28 du RGPD, la responsabilité du sous-traitant est désormais bien plus conséquente.
• En cas de non-respect du RGPD, les sanctions prévues sont assez lourdes puisqu’elles peuvent aller jusqu’à 4% du CA annuel mondial de l’entreprise.

De nouveaux droits pour les personnes physiques

L’objectif de la réforme est d’offrir une meilleure visibilité sur l’utilisation de données personnelles, tout en facilitant les contrôles. C’est pourquoi la loi impose aux responsables de traitement de prévoir des mécanismes permettant aux individus d’exercer leurs droits – notamment, le droit à l’oubli. Le principe de transparence implique également que les personnes physiques soient informées du type de données collectées et de leur utilisation lorsqu’elles font l’objet d’un traitement.

Avec la mise en application du RGPD, les clients disposent de nouveaux droits :

• Portabilité des données. Toute personne concernée par un traitement de données peut récupérer ses informations personnelles dans un format structuré et lisible immédiatement. Elle dispose également d’un droit à transmettre ces données à un autre responsable de traitement, en cas de changement de fournisseur par exemple.
• Limitation de traitement. Dans certains cas, la personne concernée peut obtenir du responsable de traitement une limitation d’usage. Aucune autre opération que le stockage des données ne pourra alors être accordée.
• Droit à l’oubli. Toute personne concernée est en droit d’exiger l’effacement de ses données personnelles dans les meilleurs délais. Si ces informations ont été transmises à une autre entité, le responsable de traitement doit informer les organismes les ayant reçues que la personne concernée a demandé la suppression de ses données personnelles.

Sur le même sujet : Comment traiter les données personnelles en B2B ?

À compter du 25 mai 2018, les clients pourront faire valoir de nouveaux droits concernant l’utilisation de leurs données personnelles. Un pas en avant en matière de protection individuelle, auquel les professionnels devront se conformer sous peine de sanctions.