Comprendre les conséquences du RGPD en 3 minutes

Si vous êtes dirigeant d’entreprise et vous commercialisez vos produits sur internet, vous êtes concerné par le RGPD. Derrière cet acronyme barbare se cache le Règlement Général de Protection des Données Personnelles.

Le 25 mai 2018, date de son entrée en vigueur, marquera peut-être l’histoire. Déjà 17% du chiffre d’affaires des entreprises françaises, PME comprises, passent en effet déjà par le net ! Nombre de ces entreprises accumulent des données concernant leurs clients et consommateurs, ne serait-ce que leur adresse : c’est ce qu’on appelle des données personnelles. Eh bien ces entreprises tombent sous le coup du RGPD. Concrètement, qu’est-ce que cela signifie ? Les entreprises françaises se conforment déjà aux règlements de la Commission Nationale Informatiques et liberté, la CNIL. Ces textes sont très protecteurs, mais surtout s’agissant des données concernant les salariés de l’entreprise. Le sujet est sensible, dans la perspective de la retenue à la source de l’impôt, puisque l’employeur connaîtra bientôt le taux d’imposition global et donc indirectement l’ensemble du revenu, de chacun de ses salariés.

Mais avec le RGPD, il faut se préoccuper aussi des clients. C’est ce que prévoit le nouveau règlement européen. L’objectif général est bien de tout faire pour que les informations concernant les particuliers soient effectivement protégées. Surtout, tous les acteurs seront soumis aux mêmes règles. Des Gafa aux PME, les entreprises européennes ou ayant des clients en Europe devront composer avec ces nouvelles normes. Les administrations seront aussi concernées

Ainsi, en tant que chef d’entreprise, vous devrez obtenir un consentement préalable, écrit, clair et explicite de la part du client-internaute, avant tout traitement de ses données. Vous devrez vous engager sur un droit à l’oubli : votre client pourra demander l’effacement de données personnelles qui pourraient porter atteinte à sa vie privée. Il sera aussi en mesure d’exiger la portabilité des données. Ainsi, un site de streaming peut être contraint de transférer à son concurrent toutes les informations concernant son client, ses choix musicaux par exemple. La CNIL suggère 6 étapes de pour se mettre en conformité avec le RGPD.

La première consiste à désigner un DPO, un data protection officer, autrement dit un pilote du dossier nommé en Français délégué à la protection des données. Pour les PME, qui n’ont pas les reins assez solides pour financer un tel poste, des prestataires externes peuvent jouer ce rôle.

Ensuite, il faut Identifier les risques, les évaluer, en faire une cartographie.

La troisième étape est essentielle, elle consiste à adapter le traitement des données à la nouvelle règlementation. Il faut, pour ce faire, savoir ne collecter que les données nécessaires, identifier la base juridique de leur traitement, revoir les mentions d’informations, et vérifier bien sûr les mesures de sécurité mises en place.

A propos de sécurité, la quatrième étape consiste à évaluer les plus grands risques que peuvent courir vos données.

La cinquième étape, qui porte sur les processus internes, vise à garantir la protection des données à tout moment. Il s’agit de prendre en compte aussi bien les failles de sécurité que la gestion des demandes de rectification d’accès.

Enfin, l’ensemble de ces process doit être documenté, afin de prouver la conformité au règlement. Ne pas se conformer aux injonctions du RGPD peut entraîner de lourdes sanctions. Le texte évoque un plafond qui peut aller jusqu’à 4% du chiffre d’affaires des entreprises en situation d’irrégularité.

Une véritable épée de Damoclès qui va concerner en  tout premier lieu les spécialistes du net, mais qui atteindra tôt ou tard la moindre PME.