Dès le 25 mai 2018, le RGPD va impacter l’économie numérique. Ce texte représente effectivement un réel changement pour le traitement des données des 500 millions de citoyens de l’UE. Si les grandes entreprises ont les moyens de se préparer à cet enjeu, ce n’est pas forcément le cas des PME et TPE.
Qu'est ce que le RGPD ?
La RGPD est le nouveau cadre européen qui organise le traitement et la circulation des données à caractère personnel. Ce texte s’applique à l’ensemble des résidents européens et vise à instaurer un cadre unique pour les pays membres. Il sera applicable à compter du 25 mai 2018 et abrogera de fait la précédente directive datant de 1995.
Pour mieux comprendre ce que recouvre le RGPD, il est important de rappeler ce qu’est une donnée personnelle. Il s’agit d’une information permettant d’identifier une personne : nom, photo, adresse IP, empreinte digitale ou encore adresse mail… Certaines sont jugées sensibles telles que l’opinion politique ou religieuse ou encore l’appartenance ethnique. Pour contrôler l’usage de ces données il n’y aura pas d’autorité supranationale mais un mécanisme de coopération entre autorités nationales sera mis en place, le G29.
RGPD : qu’est-ce que ça change pour les utilisateurs ?
Avec l’instauration du Règlement Général sur la Protection des Données, chaque utilisateur aura accès à ses propres données avec le droit de les modifier. Les internautes pourront également s’opposer à leur utilisation, notamment commerciale. Les entreprises devront donc obtenir leur autorisation en expliquant à la légitimité de l’utilisation qui en sera faite. Dès le 26 mai, les utilisateurs peuvent s’attendre à voir apparaître de nouvelles fenêtres ou pop-up sur les sites leur demandant la permission d’utiliser leurs données.
Le RGPD ne pourra toutefois pas empêcher toutes les dérives mais devrait permettre aux utilisateurs qui le souhaitent de reprendre le contrôle d’un système encore compliqué à encadrer. Le texte dégage ainsi quatre principes clés : le consentement, la transparence, le droit des personnes et la responsabilité.
Quels changements pour les entreprises ?
La principale nouveauté du RGPD réside dans son approche harmonisée à l’échelle européenne. En effet, auparavant, chaque pays pouvait établir ses propres règles générant un véritable casse-tête juridique pour les entreprises et constituant aussi un moyen de contourner les lois. Par exemple, la pratique du « forum shopping » ou choix de la juridiction la plus avantageuse a donné la possibilité à un grand nombre d’entreprises de prétendre respecter le droit européen alors qu’elles ne respectaient que le droit irlandais bien plus favorable en matière d’exploitation des données et de fiscalité.
L’autre avancée concerne les sanctions prononcées à l’encontre des entreprises qui ne respecteraient pas les efforts demandés en matière de cybersécurité des données. Celles-ci s’exposeront désormais à une amende pouvant s’élever à 4 % du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros en l’absence de revenus.
La CNIL veut rassurer les PME
A quelques jours de l’entrée en vigueur du RGPD, la CNIL souhaite rassurer les 4 millions d’entreprises et édite un guide pratique proposant un plan d’action en 4 étapes. Baptisé « Guide pratique de sensibilisation au RGPD », celui-ci a pour objectif de sensibiliser les PME à mettre en œuvre leurs propres dispositifs de protection des données dont elles sont seules responsables. La CNIL assure par ailleurs que « les TPE et les PME, pour lesquelles les données personnelles ne sont pas au cœur de l’activité, n’auront à déployer que des moyens limités. En effet, l’unique critère à prendre en compte est le volume ou la sensibilité des données traitées ».
En quelques mots, d’ici la date butoir, les entreprises ont tout intérêt à faire un état des lieux de leurs bases de données existantes, de vérifier que ces données ont été collectées conformément au cadre légal, de demander un consentement aux personnes concernées par leurs données. Enfin, certaines sociétés devront également nommer un Data Protection Officer(DPO) pour prendre en charge la protection des données, conseiller et former les employés.