RGPD, les entreprises doivent assurer la sécurité des données de leur client

Il ne reste plus beaucoup de temps pour être conforme au RGPD.  

 

Qu’est-ce que le RGPD ?

Dans un peu plus de six mois, toute entreprise traitant des données personnelles sur les citoyens de l’Union Européenne devra se conformer aux principes du Règlement Général sur la Protection des Données (RGPD) - il ne concerne donc pas uniquement les entités européennes.

En effet, après plusieurs années de rédaction, ce règlement sera applicable tel quel au sein de tous les pays de l’UE, sans transposition ni adaptation nationale possible (contrairement à une Directive), dès le 25 mai 2018.

Le RGPD vise à obliger les entreprises à considérer plus sérieusement les données personnelles de leurs clients, à savoir toutes les informations qui identifient une personne physique ou morale.

Pour les entreprises qui ne respecteront pas ce règlement, les sanctions seront sans appel : elles pourront aller de 4% du chiffre d’affaires de l’entreprise dans le monde à 20 millions d’euros - le montant le plus élevé retenu, plaçant l’infraction au même niveau que les délits de corruption ou de cartel.

 

En quoi consiste le RGPD ?

Malgré les nombreux messages alarmistes circulant sur la difficile mise en place du règlement, le RGPD permettra d’établir durablement une politique de gestion des données la plus qualitative possible, bénéfique autant pour l’entreprise elle-même que pour ses clients.

Trois principes doivent être pris en compte lors de la mise en conformité : 

  • le principe d’« accountability », qui repose sur l’autocontrôle : l’entreprise doit prendre elle-même toutes les mesures (techniques et organisationnelles) nécessaires à la conformité au règlement, et doit pouvoir le démontrer à tout moment grâce à la tenue d’un registre obligatoire ;
  • le principe de co-responsabilité des sous-traitants : ceux-ci s’engagent à mettre en œuvre les mesures de protection adéquates et à alerter le responsable du traitement en cas de fuite de données ;
  • le principe du « privacy by design » : l’entreprise doit mettre en place des mesures pour intégrer la protection de la vie privée dès la conception du produit ou du service, et ce dès la collecte et jusqu’à la suppression des données.

 

Que va changer le RGPD pour les entreprises ?

Avec ce règlement, l’entreprise devient garante du traitement des données personnelles. Les principes du RGPD, et notamment celui du « privacy by design », remettent la protection et la sécurité des données au cœur de la conception des produits et services (notamment des services en ligne), et ne la considèrent plus comme superficielle.

De plus, le consentement formulé des usagers (contractualisation, obligation légale, motif légitime) est requis pour qu’une entreprise puisse traiter leurs données personnelles. La société doit désormais démontrer qu’elle est en conformité en apportant la preuve du consentement explicite (on parle de renversement de la charge de la preuve).

Les entreprises devront également être en mesure de garantir à toute personne qui en fait la demande un droit à l’oubli, c’est-à-dire que ses données seront bien supprimées, et ce définitivement, dans un délai de 30 jours. Dans la même lignée, les entreprises doivent pouvoir fournir à chaque personne ses données personnelles dans un format structuré et lisible par machine, avec la possibilité de les transférer directement à une autre entreprise.

Enfin, pour se conformer totalement au RGPD, les établissements publics et les entreprises traitant des données sensibles ou à grande échelle (clinique, vidéosurveillance, banque, plateforme Cloud, etc.) devront nommer un Data Protection Officer (DPO), dont le rôle sera de superviser toutes les mesures de mise en conformité au règlement.

 

Pour aller plus loin

Qu’en est-il du dossier épineux de la conservation à long terme des documents, autrement appelé l’archivage ? Au départ, il n’y avait pas réellement de différences « mentales » entre la conservation électronique et le stockage classique de documents papier. Les évolutions pratiques et de mobilité ont amené les entreprises à conserver leurs données dans des doublons (dossiers digital et papier), puis à faire en sorte de développer l’usage de documents nativement numériques pour n’avoir qu’un type de données à conserver, plus économique, plus pratique d’accès et plus écologique.

Mais pour être en conformité avec le RGPD, une conservation électronique des documents un peu plus élaborée devient primordiale car les documents archivés peuvent contenir des données personnelles (notamment pour les entreprises ayant un modèle B2C). Or les données personnelles doivent être conservées uniquement le temps nécessaire à l’accomplissement de l’objectif poursuivi lors de leur collecte. Ainsi, l’archivage doit être sélectif (uniquement les données utiles au respect de l’obligation prévue), limité dans le temps (les données doivent être supprimées dès l’échéance de la durée légale atteinte), sécurisé (grâce à des mesures préventives contre tout type de destruction et des garanties en matière de sécurité et de confidentialité) et traçable (de la collecte des données à leur destruction en fin de vie).