C’est la question la plus posée aujourd’hui dans le monde de l’entreprise
EN BREF
À la question suivante: rgpd qui est concerné ? La réponse et simple et tombe comme un couperet, presque tout le monde. Oui, presque toutes les entreprises, les associations, les entités publiques, les administrations, les ministères, etc. En fait cela ne dépend ni de la taille de l’organisme ni de son budget ou de son chiffre d’affaires mais cela dépend de la façon dont ils traitent les données à caractère personnel. L’information à retenir est que tout organisme sera surveillé sur sa politique de traitement de la protection et de la sécurité de la personne, Par exemple, il existe de très gros organismes qui sont très peu concernés par le règlement général de protection des données personnelles car ils ne réalisent quasiment pas de traitements de collectes de ces données privée à grande échelle. En revanche des micros sociétés sont déjà dans le collimateur de l’autorité de contrôle (en France, la CNIL) pour traitement à très grande échelle sans respect des règles.
Après avoir vu ce qu’est le RGPD (Qu’est ce que le RGPD ?) nous pouvons maintenant nous intéresser à son champ d’application.Le règlement identifie plusieurs acteurs concernés chaque fois qu’ils traitent des données personnelles :
- L’Etat
- Les collectivités (publiques, privées, syndicales, etc.)
- Les associations (de fait, déclarées, agréés, utilité publique, 1901, 1905, etc.)
- Les entreprises (EI, TPE, PME, SNC, Grandes entreprises, etc.)
RGPD qui est concerné ? Petit audit initial…
Nous assistons à un véritable phénomène numérique. C’est un tsunami, une révolution qui bouleverse toutes nos habitudes depuis 30 ans. Nous étions habitués à une surenchère de collectes de données personnelles sur Internet. Ces collectes de données, complètement occultes pour l’usager débouchaient dans des utilisations de marketing sauvage. Aucun véritable contrôle n’existait. L’internaute était la dernière roue de la charrette. Au mieux il était la cible de grandes campagnes de publicité qui adresser spécifiquement leurs produits a-t-elle type d’usager ou d’internautes. Au pire, il était “filtré” en fonction de ses opinions politiques, syndicales, religieuses, et cetera. L’adresse IP de son ordinateur, véritable carte d’identité numérique de l’internaute était stockée et mémorisée. Elle était parfois hélas encore revendues à des annonceurs sans scrupules.
RGPD qui est concerné ? L’ancienne directive 1995/46/CE du 24 octobre 1995
Depuis quelques années la CNIL en France nous avait sensibilisé sur les données personnelles. La CNIL, autorité de contrôle de la loi Informatique et Libertés nous avait habitué à réfléchir sur la notion de fichiers informatiques des données. Peu ou prou, tous les décideurs informatiques ou les services marketing surveillaient les fichiers informatiques contenant des noms et des adresses. Ils savaient que l’on ne pouvait pas les utiliser sans tenir compte de quelques règles élémentaires.
La règle européenne était une directive, la directive 1995/46/CE. La différence entre une directive et un règlement c’est que la première était ouverte à une grande série d’amendements en fonction des pays et des situations locales. Le nouveau règlement européen, le RGPD (anglais GDPR) s’applique de la même manière à tous les pays membres de l’Union européenne. Ce règlement de protection des données n’a pas à être transposé dans les différentes législations nationales. Il se place directement au-dessus des lois de chaque état et doit être appliqué tel quel avec quelques toutes petites nuances locales.
RGPD qui est concerné ? La date fatidique du 25 Mai 2018
C’est donc le 25 mai 2018 que ce nouveau règlement, rgpd, abréviation de règlement général de protection des données est entré en vigueur. Il s’applique à l’ensemble des États membres qui chacun disposent d’un organisme public qui joue le rôle d’autorité de contrôle. En France, bien évidemment il s’agit de la CNIL, Commission Nationale Informatique et Libertés. Le rgpd est complètement centré sur la protection des données de l’utilisateur. Le focus est réellement mis sur la protection de la vie et de l’intimité de chaque usager internet. Et c’est justement là que tout change !
RGPD qui est concerné ? Avant tout l’usager
Il faut le dire, le Règlement général de la protection des données concerne avant tout l’usager, l’utilisateur internet, le personnel les entreprises, les membres des associations et cetera. Le surfeur lambda qui utilise Internet est depuis quelques mois saoulé par le nombre considérable de petites fenêtres qui s’ouvrent dès qu’il visite un nouveau site. On lui demande son accord, son consentement pour l’acceptation des cookies. C’est la rançon à payer. L’utilisateur est devenu un véritable roi et les plus grandes sociétés internationales se prosternent devant lui. En début d’année 2018, des PDG des firmes prestigieuses telles que Facebook, Twitter, Apple sont venus en Europe pour se confronter au rgpd. Et croyez bien qu’ils ont pris ça très au sérieux et ont fait le dos rond.
L’usager qui a effectué une transaction sur internet a désormais le droit de demander que l’ensemble des données qui ont été collectées soit effacées. Il dispose de ce qu’on appelle le droit à l’oubli. On doit lui demander son consentement avant toute utilisation de ses données personnelles collectées. Les sites internet doivent désormais avec tout abonnement proposer un lien explicite et facile à trouver de désabonnement. Tout engagement internet doit avoir à proximité un lien de désengagement Internet. C’est fini le temps ou l’usager était pris au piège d’un abonnement à un site et ne pouvait s’en sortir que par une somme d’efforts considérables et une persévérance inouïe. Et encore, ça c’est quand il obtenait gain de cause.
RGPD qui est concerné ? Les organismes concernés
Comme cela a été dit plus tôt quasiment tous les organismes sont concernés. Cela va des petits commerces avec leur gestion clientèle en passant par les salons de coiffure et leur prise de rendez-vous en ligne, les restaurants avec la réservation de table. Les entreprises grandes ou petites, même les micros sociétés sont concernées. On peut parler aussi des sous-traitants qui réalisent du traitement de donnée en général. Sont concernées aussi les associations avec leur fichiers de membres, les comités d’entreprise, les petits commerces et leur réseau de clients, la liste est trop longue pour être établie de façon exhaustive. Tout organisme qui effectue des traitements de collecte de données personnelles en ligne est concerné, même une entreprise individuelle peut encourir de grosses sanctions si elle outrepasse les règles juridiques et le droit de l’usager tel que régulé par le rgpd. Par conséquent donc, comme à priori, le RGPD s’applique à tous quel que soit les secteurs d’activité, une analyse et un scan des modes de traitements des données personnelles est indispensable.C’est la seule façon de vérifier si l’on est concerné ou non par le règlement général de protection des données. Nous verrons en détail que cela a moins trait aux statuts, à la taille, ou au chiffre d’affaires des organismes.
RGPD qui est concerné ? Quid des organismes hors de l’Union Européenne ?
La question s’est posée lors de la conception du règlement européen de savoir si une entreprise hors de l’union européenne est concernée par ce règlement. Le RGPD précise que le nouveau règlement s’applique aux entreprises effectuant des traitements de données personnelles sur le territoire européen ainsi qu’aux entreprises hors de l’union européenne traitant des données personnelles de citoyens européens. Ce qui implique que des sites internet tels que Amazon, Facebook, Google etc. devront se conformer (comment se conformer ?) eux aussi à ces nouvelles dispositions car ils traiteront des données personnelles de citoyens européens. D’ailleurs, ils ont bien compris et se sont mis dare dare en conformité.
RGPD qui est concerné ? Vérifier si VOTRE organisme est concerné
Afin de vérifier si votre entreprise est exposé au rgpd, le règlement général de protection des données, il est nécessaire de faire procéder très vite à un audit si ce n’est pas déjà fait. Vous devez vérifier que vous respectez bien les droits de l’usager. ce dernier a le droit à l’oubli de ses données privées. Tout nouveau traitement informatique, en ligne ou non doit faire l’objet d’une analyse du risque rgpd. C’est vrai, qu’il s’agisse de fiches de membre d’association, de client d’entreprise, de prospect de service marketing, de salariés, la liste est énorme.
RGPD qui est concerné ? Nommer un DPO.
La nomination d’un DPO est l’étape initiale indispensable. C’est l’homme clé qui par ses compétences, son niveau de formation actualisé pourra de façon efficace organiser le premier audit. Le niveau de responsabilité est désormais entre les mains de l’entreprise. Il n’y a plus comme avec l’ancienne directive européenne de nécessité de faire une déclaration auprès de la CNIL. Il s’agit seulement de respecter les règles du droit européen nouvellement établi. Pour cela, Une analyse film des traitement de données personnelles de l’organisme et à réaliser point un suivi permanent doit se faire. Seul un DPO bien formé pourra aller dénicher les données personnelles intimes qui parfois se cachent dans des procédures oubliées de tous. Appliquer la loi dans le cadre juridique du rgpd mettra à l’abri votre organisme des sanctions lourdes qui sont désormais prévues. Tout d’abord, un internaute en colère peut intenter un procès à votre organisme. Si votre organisme n’a pas respecté les lois ou le cadre juridique du RGPD, vous perdrez “à tous les coups” en justice. Utiliser incorrectement les données personnelles d’une personne physique peut entraîner de lourdes sanctions de la CNIL.
RGPD qui est concerné ? Les données sensibles, l’AIDP
De plus, si votre organisme traite de données sensibles, cette catégorie spéciale selon le rgpd, Vous avez obligation d’une aipd. L’AIPD signifie Analyse d’Impact de la Protection des Données. Si vous êtes concerné par cette dernière catégorie il vous faut d’urgence nommer une personne responsable. Cette personne aura la fonction de DPO, Data Protection Officer. Ne pensais pas que cela relève seulement de votre CIL, correspondant Informatique et Libertés. Le niveau de compétences et bien supérieur. DPO101 propose des formations adaptées pour transformer votre CIL en DPO.
RGPD qui est concerné ? Les organismes et le “consentement” de l’usager
Depuis l’avènement du rgpd, le consentement de l’utilisateur est la règle. Avec
- toute transaction commerciale
- toute demande d’abonnement,
- tout référencement d’une personne physique,
- avec toute acceptation d’inscription à une newsletter
- avec l’intégration du fichier d’un tiers contenant des données personnelles
Il doit exister un lien de “droit à l’oubli”.
Cette protection fondamentale protège désormais efficacement l’internaute. C’est la clé de voûte du nouveau règlement général de protection des données. À tout moment, l’internaute peut demander à ce que l’ensemble de ses données personnelles soit effacé. Cela doit résulter d’une action positive. La personne doit authentiquement et explicitement avoir été placée devant la nécessité de donner son accord au traitement. Elle ne peut pas passer outre. Surtout ne pas insérer de case pré-cochée “d’acceptation par défaut”. Un consentement qui a été accordé peut être ôté à tout moment, pas facile pour les opérateurs marketing mais c’est la loi. Des clauses de licéité très spécifiques sont détaillées dans l’article 6 alinéa b à f du RGPD.
RGPD qui est concerné ? Contactez DPO101
Le Cabinet rgpd DPO101 est une agence spécialisée composée d’experts en cybersécurité, de juristes et d’informaticiens chevronnés. Nous vous donnerons le Conseil préalable à toute démarche. Nous sommes à votre disposition pour répondre à toutes vos questions, des plus simples au plus sophistiquées. Contactez-nous !