Dans un souci de s’adapter aux nouvelles réalités du numérique, l’Union Européenne a mis en place le RGPD : le Règlement Général sur la Protection des Données (en anglais le GDPR : General Data Protection Regulation) qui entrera en application le 25 mai 2018 pour tous les pays de l’Union Européenne. Kezako ?
Le texte complet est disponible sur Internet mais comme il est écrit dans un parfait charabia, je vais tenter de le traduire pour vous et en tirer les grandes lignes (à moins que vous ne soyez d’attaque pour lire ses 120 pages, bien sûr !).
Quels sont les objectifs et les enjeux du RGDP ?
Le RGPD a été créé pour harmoniser la gestion et la protection des données personnelles pour les résidents de l’Union Européenne.
C’est le moyen pour :
- Avoir plus de visibilité et de contrôle sur les données personnelles,
- Maîtriser quelles sont les données collectées,
- Savoir à quelles fins elles sont collectées,
- Connaître leur durée de conservation.
L’entreprise doit donc savoir à chaque instant où sont les données, quel est leur mode de stockage et d’effacement et comment les transmettre à la personne concernée.
On pourrait corréler en considérant que les données concernant vos clients sont comme des valeurs en banque qui restent leur possession. Vous pouvez les utiliser mais seulement avec leur approbation et vous devez savoir dire, sur simple demande, de quoi elles sont constituées, où elles sont stockées. Il doit aussi pouvoir les « retirer » à tout moment. L’utilisateur doit être également informé si des données le concernant ont pu être volées. 🕵
Qui est concerné par le RGPD ?
Tous les acteurs économiques et sociaux proposant des biens et des services dès lors que leur activité traite des données personnelles sur les résidents de l’Union Européenne. Donc :
- Les entreprises,
- Les associations,
- Les organismes publics,
- Les sous-traitants,
- Les entreprises dont le siège est en dehors de l’UE mais opérant sur les données des résidents UE.
Quelles sont les sanctions en cas de manquement ?
4% du chiffre d’affaires annuel mondial ou 20 millions d’euros ! Et c’est la somme la plus importante entre les deux qui sera retenue (ouch !). 😱
A cela s’ajoutent les dommages et intérêts pour payer le préjudice subi par le non-respect du GDPR, suite à un recours en justice.
Et concrètement, qu’est-ce qu’on fait pour être aux normes ?
Il y a cinq principes à mettre en œuvre :
1) Accountability : la responsabilisation
C’est à l’entreprise de faire les démarches pour protéger les données personnelles et elle doit être capable de démontrer, en cas de contrôle, qu’elle a bien rempli ses obligations.
2) Privacy by design : le respect de la vie privée dès la conception
Cela signifie que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service, mais également dans le système d’information, au sein d’une base de données ou lors de la conception d’une application.
3) Security by default : sécurité par défaut
Il renforce le rôle de la sécurité dans le système d’information qui doit être sécurisé à ses différents niveaux avec, par exemple, des contrôles d’accès ou un système de prévention contre les failles de sécurité.
L’entreprise doit être capable de déceler si l’intégrité de son système d’information a été compromis et, le cas échéant, pouvoir y remédier.
4) Data Protect Officer (DPO) : le délégué à la protection des données
Le délégué à la protection des données doit veiller à la conformité de l’entreprise avec le RGPD. Il est le correspondant avec les autorités de contrôle. 🗼
5) Étude d’impact
L’entreprise doit effectuer une étude d’impact avant la mise en œuvre de nouveaux traitements de données qui pourraient potentiellement présenter des risques d’atteintes aux droits et aux libertés individuelles.
Elle doit également prévoir les mesures pour diminuer l’impact des dommages potentiels à la protection des données personnelles.
Vous l’aurez certainement compris, les conséquences pour une entreprise, qu’elle soit cotée au CAC40, prestataire de service ou e-commerçant sont vastes car elles manipulent de nombreuses données personnelles.
Mais qu’en est -il pour vous, si vous avez simplement un blog ?
Que devez-vous mettre en place pour vous mettre en conformité ?
Comme beaucoup de gestionnaires de blog, vous collectez les données des visiteurs qui parcourent votre site afin de les inscrire via un formulaire à votre newsletter et à vos mailing lists ? ✉
Avec cette nouvelle réglementation, Il faudra, dorénavant, un consentement explicite de la part du futur abonné afin de collecter son adresse mail. Cela consiste à laisser une case décochée par défaut dans votre formulaire d’inscription. Si le visiteur accepte de recevoir votre newsletter, il devra cocher cette case.
Autre point qui change à partir du 25 mai 2018 : vous ne pourrez plus utiliser une adresse email obtenue pour l’un de vos blogs et l’utiliser sur un autre de vos médias. Vous aurez besoin de leur consentement pour l’utilisation de leur email sur cette autre plateforme.
Par exemple : vous avez collecté une adresse mail pour votre site spécialisé dans l’apprentissage d’une langue. Vous ne pourrez la réutiliser pour votre nouveau blog voyage.
Pour terminer, si vous deviez un jour, vous retrouver victime d’un hacker sur votre blog, vous auriez 72 h pour en avertir vos abonnés. Vous pourrez pour cela, par exemple, écrire un article sur votre blog en urgence. Ainsi, vous maintiendrez informés vos abonnés au sujet des risques encourus. 🚨
Voilà ce qu’il faut retenir du RGPD et de ses conséquences que vous soyez entrepreneur, blogueur ou président d’une association. Je sais, tout cela n’est pas toujours simple, mais c’est pour la bonne cause : protéger votre communauté sur internet.