Suite à de nombreux scandales liés à l’utilisation des données personnelles par de grands groupes comme Facebook, ou observant la raréfaction des protections des personnes sur Internet, le Parlement européen a voté en 2016 un règlement visant à encadrer les entreprises. Entré en vigueur le 25 mai 2018, il est désormais obligatoire pour tout site internet utilisant des cookies, ou traitant des données utilisateurs, de se conformer à ce règlement, de même pour les entreprises traitant des données à caractère personnel. Néanmoins, il est difficile d’en cerner complètement les enjeux sans se pencher un peu sur le sujet.

Qu’est-ce que le RGPD ?

Le RGPD est l’acronyme pour « Règlement Général sur la Protection des Données ». Ce règlement est un ensemble de directives votées dans toute l’Europe, afin de responsabiliser les entreprises traitant des données à caractère personnel. Ce règlement n’est donc applicable que dans les pays membres, ou dans tous les pays traitant des données de citoyens européens. Tous les pays du monde sont donc directement ou indirectement concernés.

A noter que toute manipulation de données personnelles est concernée, à la seule exception de votre répertoire téléphonique.

Qu’est-ce qu’une donnée personnelle ?

La CNIL (Commission nationale de l’informatique et des libertés) définie une donnée personnelle comme permettant d’identifier une personne. Sont donc concernés le nom, prénom, les photographies, les vidéos, les extraits sonores, le numéro de sécurité sociale, l’adresse postale et le numéro de téléphone.

Le RGPD réglementant particulièrement la circulation des données sur Internet, l’adresse IP ou les identifiants pour se connecter à un site internet sont considérés comme telles.  L’association de certaines de ces données, comme la date de naissance, le sexe, la ville, le cursus scolaire, permettent aussi dans une certaines mesure d’identifier quelqu’un et doivent donc être correctement régulées.

Quelles obligations pour les organismes concernés ?

Comme indiqué dans l’article 5.1 du RGPD, les entreprises ont un devoir de traiter les données de manière licite, loyal et transparente.  Les finalités du traitement doivent être clairement explicitées dans les mentions légales, et ne jamais être traitées ultérieurement de manière incompatible avec les finalités énoncées.

Les données recueillies doivent être limitées à celles pertinentes pour les finalités énoncées, être exactes et à jour. Les données doivent être conservées pendant une durée raisonnable, c’est-à-dire compatible avec l’utilisation. Gardées en sécurité, de sorte qu’elles ne puissent être perdues ou détruites, et seulement accessibles par l’entreprise et les propriétaires de ces données.

Une entreprise de plus de 250 employés a l’obligation de tenir un registre, identifiant les activités traitant les données, les objectifs du traitement, les personnes pouvant accéder à ces données, décrire ces données et indiquer leur durée de conservation. Un tel modèle de registre peut être téléchargé sur le site de la CNIL.

Que risque une entreprise qui n’applique pas le RGPD ?

Une entreprise ne respectant pas ce règlement s’expose à des sanctions financières et pénales, dont la gravité dépend des données et de leur traitement. Le RGPD prévoit une amende de 4% du chiffre d’affaire annuel de l’entreprise, une amende pénale, et, en cas de plainte, des dommages et intérêts. Les organismes de contrôle sont particulièrement déterminés à sanctionner tout manquement.