Le 25 mai prochain, le nouveau règlement européen concernant la protection des données dit ‘RGPD’ entre en vigueur. Si son ambition de confiance et de transparence est louable, il faut admettre que le texte demeure complexe et soulève un très grand nombre de questions.
Quelles données personnelles ?
Il s’agit des données à caractère personnel se rapportant à une personne physique. A ce titre, toutes sont concernées : identité, adresse email, coordonnées téléphoniques et postales mais aussi données comportementales (issues de l’usage d’un ordinateur professionnel par exemple) et même les photos ou les plaques d’immatriculation.
Le B2B n’est en rien exclu puisqu’une relation commerciale s’établit entre deux personnes physiques.
La RGPD pour les entreprises…
Finalement, n’importe quelle entreprise, institution ou administration est concernée, quelque soit sa taille. La collecte de données personnelles peut provenir d’un simple formulaire de contact sur son site, d’un abonnement à une newsletter qu’elle édite, d’une inscription à un événement qu’elle organise ou même à la prise d’un rendez-vous ou l’émission d’une facture.
La CNIL préconise 6 étapes d’identification et d’organisation pour aider les entreprises à se mettre en conformité avec la RGPD. Elle recommande notamment la désignation d’un DPO, délégué à la protection des données, au sein de chaque organisation. Pour autant, il faut avouer que cela reste assez conceptuel ! C’est pourquoi la CNIL nous propose également la solution logicielle PIA (gratuite).
Compte-tenu de la multiplicité de systèmes d’informations au sein d’une entreprise ou d’une administration, la mise en oeuvre de la RGPD relève du véritable défi ! D’autant que certaines règles comme le délai de conservation des données ne sont pas précisément définies. L’idéal consisterait en la création d’une base de données centrale mais cette piste relève techniquement de l’utopie.
Ce qui est sûr c’est que ce nouveau règlement fera forcément bouger les lignes de la collecte et du traitement des données au sein des entreprises.
La RGPD pour les utilisateurs…
Ce nouveau règlement vise à nous garantir des droits mais également à simplifier les démarches relatives à nos données personnelles.
Concernant nos droits, nous serons davantage informés par les entreprises et institutions publiques de la collecte, du traitement et de la durée de conservation de nos données personnelles. Nous devrions pouvoir plus facilement rectifier nos données ou faire appliquer le droit à l’oubli. Ainsi vous pourrez solliciter votre ancien employeur pour que votre photo ne figure plus sur un de ses éléments de communication (site Internet, brochure publicitaire…) ou demander à un site de faire disparaître des données vous concernant.
La RGPD fait également apparaître la notions de portabilité qui vise à nous permettre de transférer des données d’un réseau social vers un autre par exemple. Patientons encore quelques semaines pour voir si les réseaux sociaux nous proposent de tels outils.
Nul doute que beaucoup d’organisations ne seront pas prêtes à l’échéance prévue par l’Europe. Pourtant, les autorités pourront dès fin mai commencer à mettre en place des sanctions financières aux récalcitrants. Les amandes pourraient ainsi atteindre 4% du chiffre d’affaires pour les entreprises.
Côté grand public, les notions de droit à l’oubli ou de droit d’accès aux données personnelles existaient avant la RGPD qui semble surtout viser à nous rassurer et à renforcer nos droits tout en nous garantissant une plus grande transparence.
Rendez-vous dans quelques mois pour faire le point… !