Son entrée en vigueur est prévue pour le 25 mai 2018 : dans toutes les entreprises qui traitent des données personnelles, il faudra désormais composer avec le GDPR (General Data Protection Regulation). En France, on utilise l’acronyme RGPD pour désigner ce règlement général sur la protection des données. Que va-t-il changer concrètement ? Comment le respecter ? Zoom sur ce nouveau dispositif.
Les principaux objectifs du GDPR
Devant le développement de programmes informatiques capables de traiter des données en très grandes quantités (« Big Data ») et l’émergence de technologies comme l’intelligence artificielle, la confiance des utilisateurs n’est plus au rendez-vous. Ces derniers sont conscients que des informations sur leur vie personnelle circulent sur la toile, sans qu’ils ne puissent rien maîtriser.
Pour que les citoyens reprennent le contrôle de leurs données personnelles, l’Europe a mis en place le GDPR. Il vise aussi la simplification des règles de protection des informations pour les entreprises, même si quelques ajustements seront certainement nécessaires, au début, pour se conformer aux nouvelles exigences.
Les objectifs du GDPR sont nombreux et concernent plusieurs domaines. Cependant, il est possible de les résumer en trois axes essentiels :
- Mieux protéger tous les citoyens, et notamment les mineurs
- Responsabiliser les entreprises et intermédiaires qui traitent les informations personnelles
- Contrôler plus fréquemment et plus méticuleusement les entreprises concernées sur tout le territoire européen, et durcir les sanctions en cas de manquement
GDPR : quels changements dans les entreprises ?
Puisque l’échéance approche, toutes les entreprises sont désormais conscientes qu’il faut changer certains procédés, car la protection des données doit maintenant devenir une priorité, sachant que la devise du GDPR est « Privacy by design ».
Ainsi, en amont de chaque projet visant à collecter des données personnelles, il faudra inclure des pratiques pour protéger la vie privée des utilisateurs dans le cahier des charges. Par exemple, pour simplifier le respect du règlement, on peut limiter le nombre de renseignements demandés, et se concentrer sur l’essentiel (si l’adresse e-mail suffit, pourquoi créer un champ afin d’avoir le numéro de téléphone mobile ?).
De plus, il faut désormais savoir qu’on doit obligatoirement obtenir le consentement de chaque consommateur dans l’optique de collecter des données. Pour cela, il suffit d’ajouter une case à cocher au moment de remplir les formulaires, ce qui prouve que l’internaute donne bien son accord.
En outre, à tout moment, toute personne peut exiger que les informations qu’elle a transmises soient supprimées. Dans ce cas, l’interlocuteur dispose d’un délai de 30 jours pour honorer cette requête. Il existe un droit à la limitation de l’usage des données, et un droit d’accès, de contrôle et de rectification.
Si le respect de la vie privée est l’objectif principal de ce nouveau règlement applicable à échelle européenne, on cherche également à viser le plus haut niveau de protection possible. Enfin, il s’agit aussi de crédibiliser la protection des données, en offrant plus de transparence. Chaque entreprise liée à la collecte ou le traitement d’informations sur la vie privée des consommateurs doit être capable de prouver qu’elle est totalement conforme à ce règlement.
Les sanctions prévues en cas de manquement au règlement
Alors même que la CNIL prévoit déjà des sanctions pour tous les professionnels qui ne respectent pas les libertés des utilisateurs sur le web, la politique du GDPR est plus répressive encore. En effet, les sanctions les plus extrêmes pourront aller jusqu’à 10 millions d’euros d’amende pour une entreprise, ou 2 % du chiffre d’affaires annuel mondial pour manquement aux principes de base.
En outre, en cas de non-respect des droits des personnes, qu’il s’agisse de l’accès, de la modification des données ou de leur suppression, on s’expose à une amende de 20 millions d’euros, ou 4 % du chiffre d’affaires annuel mondial.
Outre la CNIL, les entreprises peuvent se rapprocher de différents cabinets de conseils, spécialisés dans l’accompagnement des structures sur le traitement des données personnelles, pour se mettre en règle avec le GDPR.
Join the conversation