le trimestriel économique du Var

La couverture du numéro 26 de Var Eco News
N°26 Octobre 2018

Actualités

Mai 2018 - N°25
  • Agrandir
  • Diminuer

Protection des données :quelles obligations pour les entreprises ?

Hasard du calendrier, c'est quelques jours après le scandale Cambridge Analytica, qui a plongé Facebook dans la tourmente, que va entrer en vigueur le RGPD (règlement général sur la protection des données). Ce texte européen va renforcer les niveaux de contrôle sur la collecte, le traitement et la diffusion des données personnelles - via le web, par courrier ou tout autre canal. Cette nouveauté réglementaire est une sorte de mise à jour d'une directive de 1995, devenue complètement obsolète à l'heure de la révolution numérique. Et sa portée européenne doit par ailleurs permettre de lisser les pratiques à l'échelle continentale.

Quelles sont les données personnelles concernées ?

Il s'agit de toute information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc. 

Cela va-t-il changer quelque chose pour les internautes ?

L'idée est de renforcer les protections des particuliers utilisateurs d'Internet : les entreprises devront enregistrer un consentement écrit, clair et explicite avant tout traitement de données personnelles, et qu’ils s’assurent également que les jeunes mineurs aient bien reçu l'accord de leurs parents avant de s’inscrire sur un réseau social. Le RGPD inclut aussi le principe du droit à l’oubli pour obtenir le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée, le droit à la portabilité des données, pour pouvoir passer d’un réseau social à l’autre sans perdre ses informations, et bien sûr le droit d’être informé en cas de piratage des données. 

Quelles sont les entreprises qui doivent se conformer au RGPD ?

Le texte concerne toute entité manipulant des données personnelles concernant des Européens, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association. Mais un groupe extra-européen qui collecte et traite des données personnelles européennes doit aussi s’y conformer. Les géants comme Google, Facebook ou Amazon vont donc devoir s'adapter, au même titre que des startups de taille modeste. 

Comment se mettre en conformité ? 

Une entreprise traitant des données personnelles doit désigner (en interne ou un recrutement) un "délégué à la protection des données". Ce dernier aura différentes missions : informer et conseiller les techniciens en interne (responsables du traitement des données, développeurs), contrôler le respect du règlement, faire de la veille pour se tenir informé des évolutions. Les données doivent par ailleurs être collectés et traitées en respectant les nouvelles normes : définition de leur durée de conservation, obligation de ne collecter que les données nécessaires à une finalité spécifique, mise en place d'un recueil de consentement, impératifs de sécurité et de confidentialité (chiffrage, anonymisation).

Quelles sont les sanctions prévues ?

Les entreprises qui s'affranchiraient des règles du RGPD pourraient le payer cher : en cas d’infraction, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues. Cela serait colossal pour les géants américains cités précédemment.
Mais le risque est proportionnellement plus grand pour les entités plus petites, qui pourraient ne pas se relever des sanctions liées à une mauvaise adaptation au RGPD. 

En savoir plus La CNIL (Commission nationale Informatique et Libertés) a mis une ligne d'assistance dédiée au 01 53 73 22 22.

retour a la liste