Protection des données personnelles : les nouvelles règles du jeu

Protection des données personnelles

Le 25 mai 2018 (demain !), le RGPD sera applicable dans les 28 pays membres de l’Union Européenne. La responsabilité des organismes et sous-traitants sera renforcée à travers la mise en place de nouvelles règles et obligations. Etes-vous prêts ? Le point avec Alexandre Guénon, Responsable Achats Marketing Direct chez Altavia.

Certaines échéances paraissent si lointaines. On pense, à tort, avoir le temps. Et pourtant… Dans seulement 6 mois, le règlement européen du 27 avril 2016 sur la protection des données personnelles, initié en 2012 par la commissaire européenne Viviane Reding, entrera en application. Un texte qui, selon la CNIL, doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique. « Et ne pas s’y conformer, c’est s’exposer à de très lourdes sanctions, prévient Alexandre Guénon, Responsable Achats MD chez Altavia. L’amende est de 20 millions d’euros ou 4 % du chiffre d’affaires Monde, sachant que la somme la plus forte est retenue. Une vraie pression financière, pour faciliter le respect de toutes nouvelles règles ! »

 

Ainsi, le RGPD concerne tout ce qui touche au traitement des données personnelles, c’est à dire des données permettant d’identifier une personne physique (nom, âge, adresse postale, adresse IP, numéro de téléphone…). Ce règlement s’applique à tous les organismes de l’Union Européenne, mais également à ceux en dehors, qui seraient appelées à traiter des données d’individus européens. «L’approche se base sur trois grands piliers, résume Alexandre Guénon : le risque, c’est à dire tout ce qui est lié à la sécurisation des données ; les droits acquis par les individus ; et les obligations en cas de violation des données. »

 

Le règlement fait apparaître deux niveaux d’acteurs : « le responsable du traitement » – le propriétaire et gérant de la base de données – et les sous-traitants – qui se servent d’une partie de la base de données sur demande ponctuelle du responsable du traitement.

 

Le consentement des personnes

Les obligations des organismes commencent dès l’acquisition des nouveaux contacts. « Désormais, l’accord ne peut pas être ambigu et il faut qu’il y ait une démarche active de l’individu – dans un formulaire en ligne, il peut par exemple s’agir d’une case à cocher – pour exprimer son consentement, explique Alexandre Guénon. De plus, les sociétés devront établir un historique mentionnant la date, l’heure et le mode d’accord. Ce sont de gros changements dans l’acquisition de nouveaux contacts et cela obligera sans doute les responsables du traitement des données à être plus vertueux ».

 

Le traitement des données

Une fois le contact acquis, les organismes devront respecter de nombreuses contraintes, imposées par le RGPD :

– limitation de la donnée : obligation de ne collecter que les données vraiment nécessaires. « Une société souhaite faire un mailing anniversaire ? ajoute Alexandre Guénon. Alors qu’il était fréquent, jusqu’à présent, de demander aussi l’année de naissance de l’individu, seuls le jour et le mois seront jugés pertinents » ;

– obligation d’exactitude des données ;

– obligation d’assurer l’intégrité et la confidentialité des données ;

– création d’un nouveau poste appelé DPO (data protection office), qui deviendra le référent sur la sécurité, le juridique et l’informatique ;

– enregistrement de toutes les actions entreprises à travers la mise à jour d’un registre décrivant les données stockées ;

– …

 

Le droit des individus

Les personnes concernées par le traitement des données personnelles disposent de droits, afin de garder la maîtrise des informations :

– le droit d’opposition permettant d’empêcher la réutilisation de leurs coordonnées à des fins notamment commerciales ;

– le droit d’accès, de rectification et de suppression ;

– le droit à la portabilité, afin de pouvoir transmettre ses données à une autre société, dans un format utilisable et lisible ;

– …

 

La sécurisation

Les organismes doivent également être en mesure de garantir que leur architecture informatique est bien sécurisée, en réalisant des tests réguliers.

 

« En cas de violation, les sociétés impliquées devront obligatoirement prévenir la CNIL dans les 24 heures suivant les faits, annonce Alexandre Guénon. Et en fonction de la gravité de l’incident, le client final devra également être informé. »

 

Ces changements importants dans la manière d’acquérir et de gérer la donnée concernent tous les organismes qui gèrent des bases de données personnelles – que celles-ci soient collectées à des fins d’utilisation commerciale, de gestion de ressources humaines ou d’achats -. Alors, êtes-vous vraiment certain d’être prêt ?