• #CNIL
  • #privacybydesign
  • #protectiondesdonnees
  • #rgpd

Pourquoi appliquer le RGPD dans son entreprise ?

L’actualité high-tech vibre au rythme des innovations IT en cours, telles que l’Intelligence Artificielle (IA) et la blockchain, mais depuis quelques mois, également à celui du Règlement Général de Protection des Données (RGPD), qui entrera en vigueur le 25 mai prochain. Plus contraignant que les textes réglementaires actuels, pourquoi un tel règlement a-t-il intérêt à être effectif ? L’équipe EcoGuide IT tente de répondre à la question.

Le RGPD répond à des attentes réelles des usagers

En septembre dernier, l’institut CSA a publié une étude montrant l’inquiétude des français quant au sort de leurs données personnelles collectées sur Internet. En effet, ils sont 85% en 2017 à se dire préoccupés par la protection de leurs données personnelles. Pour la tranche des 18-24 ans, la génération des Millenials, la part grimpe même à 93%.

Respectivement 20% et 10% des français font confiance aux moteurs de recherche et aux réseaux sociaux pour la protection de leurs données. Source : Institut CSA

Outre une inquiétude, les chiffres ci-dessus montrent également une défiance vis-à-vis de certains services proposés sur Internet, les moteurs de recherche et les réseaux sociaux principalement. Ainsi, le RGPD qui s’appliquera aux Etats-membres de l’Union Européenne répond, pour le cas de la France du moins, à une attente réelle. Ce signal indirect envoyé aux GAFAM, et plus largement aux entreprises traitant les données personnelles des utilisateurs de leurs biens et/ou services, expose les attentes de ces derniers quant à la responsabilisation des pratiques de ces entreprises.

En effet, le cyberespace ne recèle pas uniquement d’acteurs bienveillants et les cyberattaques mondialisées telles que Petya et Wannacry l’année dernière, ou encore Meltdown et Spectre en ce début d’année, prouvent qu’au-delà des pratiques des entreprises, il y a tout intérêt à responsabiliser ces dernières afin de protéger convenablement les données des internautes qui transitent et sont stockées dans leurs datacenters. Il serait cependant faux de penser que rien n’est fait par celles-ci à l’heure actuelle, citons par exemple le bug bounty gagnant actuellement en popularité et dont une explication du fonctionnement est disponible dans une précédente infographie EcoGuide IT.

Un texte réglementaire largement relayé dans la presse

Prêtes ou non, les entreprises auront l’obligation de se conformer au RGPD à compter du 25 mai 2018. D’autant qu’il leur est difficile d’être passées à côté de ce sujet jusqu’à aujourd’hui. À ce propos, nous avions évoqué quelques aspects du texte à l’occasion de l’article « Les données personnelles au cœur du Règlement Général sur la Protection des Données ! », dont le futur rôle du Data Protection Officer (DPO) ou encore les pénalités en cas de non-respect du RGPD par les entreprises.

En plus d’avoir à se prémunir d’hypothétiques fuite de données, les entreprises auront surtout à rendre compte de la collecte qu’elles effectuent. Le but du RGPD est en effet de limiter l’impact sur la vie privée que peuvent avoir les données personnelles collectées par ces structures. Pour ce faire, le texte dispose de 99 articles retraçant différents sujets relatifs à la protection de données. Sans revenir sur chacun d’eux, en voici quelques exemples.

Crédit photo : Comarketing-news.fr

Quelques thèmes abordés par le RGPD

Au niveau de la limitation de l’impact sur la vie privée des utilisateurs via la collecte de données, le concept de Privacy-by-Design introduit par l’article 25, ouvre la voie à des pratiques plus éthiques de la part des responsables de traitement. En effet, l’article mentionne l’obligation pour ces derniers de prévoir, dès la conception d’un produit et/ou service, une collecte de données uniquement nécessaires à ses fonctions essentielles. Ainsi, fini les accès inopinés à la caméra, au répertoire de contacts, au GPS ou encore SMS pour installer une application. Ce principe de minimisation est accompagné d’une « étude d’impact sur le vie privée » (EIVP) pour le cas des traitements à risque de données sensibles telles que l’origine ethnique, sociale ou encore l’opinion politique et religieuse. Dans ce cas, le responsable du traitement aura à effectuer cette étude afin de mettre en exergue les caractéristiques du traitement, les risques et les mesures adoptées. Pour la France, la Commission Nationale de l’Informatique et des Libertés (CNIL) aura un droit de veto sur l’application du traitement de données si celui-ci n’est pas respectueux du RGPD.

Outre la responsabilisation des entreprises collectant des données personnelles, les usagers voient également leurs droits renforcés. Les articles 78 et 79 introduisent ainsi le droit au recours collectif. Inscrite dans le Code de Consommation français depuis 2014, ce droit s’étend à la protection des données et permet aux usagers du Web de faire appel à des associations actives dans la protection de données pour instruire des plaintes. Par ailleurs, les articles 82 et 83 instaurent, respectivement, les compétences des juridictions qui pourront exiger une réparation des dommages subis par un utilisateur, ainsi que les amendes maximales à acquitter pour le responsable de traitement : 20 millions d’euros maximum ou 4% du chiffre d’affaires mondial de l’entreprise en cas de condamnation.

Loin d’être exhaustif, ce bref résumé permet de constater le périmètre du RGPD. La responsabilisation des entreprises traitant des données et le renforcement des droits des usagers, sont les deux principales voies empruntées par le texte réglementaire. Le but n’étant pas de punir les entreprises collectant des informations sur leurs utilisateurs, la CNIL met à disposition une méthode en 6 étapes à suivre pour le faire dans les règles de l’art tout en se mettant en conformité avec le RGPD. Deadline le 25 mai prochain !

Aymeric De Wispelaere

Crédit photo : http://chefdentreprise.com