PME / Entreprises

Le RGPD arrive, mais inutile de paniquer

Arne Uppheim, 23 mai 2019

Voici les réponses à 10 questions liées au RGPD.

Le RGPD (règlement général sur la protection des données) arrive. Il promet de changer la façon dont vous et vos clients traitez les données des clients privés. Il s'appliquera dans tous les États membres de l'UE à partir du 25 mai 2018. Pour le Royaume-Uni, le Brexit ne devrait pas impacter quoique ce soit puisque le gouvernement britannique semble sur le point de dupliquer le règlement.

Les entreprises qui enfreignent les nouvelles règles encourent une amende de 20 millions d’euros ou de 4 % de leur chiffre d’affaires mondial.

Cela semble un peu drastique, n'est-ce pas ? Certaines entreprises, troublées par la complexité du RGPD, sont sur le point de céder à la panique. Et la morosité ambiante, en particulier de la communauté juridique, ne les rassure pas plus.

Nous abordons le sujet sous un autre angle. Selon nous, il n’y a pas lieu de paniquer. Les entreprises devraient plutôt considérer la législation ainsi : elle codifie simplement les meilleures pratiques en matière de confidentialité et de sécurité des données.

En d'autres termes, le RGPD prescrit des mesures que vos clients (et vous-même) devriez de toute façon mettre en place.

Vous devriez vous concentrer sur les utilisateurs finaux, et non sur le régulateur. Après tout, si les clients sont satisfaits de la manière dont leurs données sont utilisées, ils n’auront aucune raison de se pencher sur la loi.

En tant que prestataire de services apprécié de vos petites entreprises, vous pouvez les guider dans les derniers préparatifs.

Cela dit, quelles sont les meilleures pratiques ? Et que devraient faire vos clients ?

Pour simplifier un peu les choses, répondons à 10 questions clés.

1. Quand les entreprises peuvent-elles légalement conserver des données personnelles ?

Selon le RGPD, il y a six raisons pour lesquelles une entreprise pourrait traiter des données relatives à ses clients/utilisateurs.

La plus évidente est un utilisateur ravi que ses données soient traitées. Pour des raisons commerciales, une entreprise lui demande de fournir certaines informations d'identification afin de rester en contact. Le RGPD exige que les entreprises s'assurent que leur consentement est explicite, informé et non pas regroupé dans un ensemble d'autres termes et conditions.

Les autres raisons de conserver des données sont :

  • Un contrat avec l'individu : par exemple, un contrat d'employé
  • Une obligation légale
  • Pour l’intérêt vital : par exemple, lorsque le traitement des données est nécessaire au bien-être du client
  • Pour l’intérêt public
  • Un intérêt légitime : lorsqu'il existe une raison inévitable de traiter des données à caractère personnel sans le consentement du client

2. Le RGPD est-il réservé aux entreprises d'Europe continentale ?

Non ! Le RGPD s'applique aux citoyens européens, et non aux entreprises qui traitent leurs données. Donc, si votre client est basé hors d’Europe mais a des clients ici, il doit se conformer au RGPD.

Si leurs citoyens sont menacés, les autorités locales de protection des données de l’UE (comme le bureau du commissaire à l'information, ICO, au Royaume-Uni) peuvent prendre des mesures contre des organisations où qu'elles se trouvent dans le monde.

3. Qui peut accéder aux données personnelles ?

Dans un premier temps, vos gros clients devraient nommer un responsable de la protection des données. L'organisme de réglementation se tournera vers eux pour garantir la conformité et mettre en place les processus et protocoles appropriés. Autrement, seuls les employés approuvés (ceux qui ont des besoins professionnels) devraient avoir accès aux données client.

4. Comment les entreprises doivent-elles sécuriser leurs données ?

Le RGPD exige des niveaux de sécurité élevés mais ne rentre pas vraiment dans les détails. Il ne donne pas d'instructions précises. Il stipule seulement que les entreprises devront « assurer un niveau de sécurité approprié au risque ».

Nous vous recommandons de parler à vos clients de la sécurité en place pour protéger les données. Il est également important qu’ils disposent des systèmes adéquats pour identifier une violation de données car le RGPD exige que les entreprises informent les utilisateurs si leurs données ont été compromises.

5. Quel est le meilleur format pour conserver les archives des clients ?

Bien qu’il soit essentiel de sécuriser et de peut-être de chiffrer les données au repos et en transit, il faut aussi pouvoir les remettre aux utilisateurs quand ils le demandent. Avec le RGPD, les utilisateurs peuvent demander à tout moment de voir leurs enregistrements, de les supprimer ou de les transférer à un nouveau fournisseur. Le règlement stipule donc que les entreprises doivent veiller à pouvoir transmettre des données à caractère personnel dans des « formats structurés, couramment utilisés et lisibles par un appareil »

6. Qu'est-ce que la « vie privée dès la conception » et qu'est-ce que cela signifie pour moi ?

La meilleure façon de garantir la protection permanente des informations consiste à utiliser un logiciel conçu dans l’intérêt de la protection des données. Le RGPD encourage les entreprises à adopter la « protection de la vie privée dès la conception » afin de pouvoir traiter des données sans avoir à apporter ultérieurement des modifications complexes et fastidieuses pour être en conformité.

7. Comment les entreprises doivent-elles réagir en cas de crise ?

Le tout est de se préparer à l’avance. Le RGPD demande aux organisations de mettre en place une évaluation des facteurs relatifs à la vie privée (EFVP). En fait, il s’agit de se poser la question « En quoi nos clients/utilisateurs seraient menacés si leurs données étaient violées par des malfaiteurs ? », puis de rédiger une approche de bon sens pour gérer ces risques.

Lorsqu'une entreprise prend connaissance d'une violation de données, elle dispose de 72 heures pour informer à la fois l'autorité de protection des données locale (CNIL, pour la France) et tous les clients concernés. Oh, et toute correspondance avec les utilisateurs à propos des données doit être en bon français.

8. Quelles sont les pénalités pour non-conformité ?

Pour résumer : elles sont punitives. Les régulateurs peuvent infliger des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise. En réalité, nous espérons que, dans un premier temps, l’organisme de réglementation vérifiera plutôt que l’entreprise disposait bien d’un plan de conformité et fait de son mieux pour que cela ne se reproduise pas.

9. Quel est le problème avec les « contrôleurs » de données et les « processeurs » de données ?

Le RGPD désigne deux parties qui traitent des données personnelles : les contrôleurs et les processeurs. Le contrôleur est la partie « senior ». C’est lui qui décide quelles données collecter et quoi en faire. Le processeur exécute les instructions du contrôleur.

Sous l'ancien régime, le contrôleur assumait l'essentiel de la responsabilité légale. Dans le cadre du RGPD, les processeurs seront également tenus responsables des actions ayant une incidence sur les données personnelles.

10. Qu'en est-il des autres entreprises de l'écosystème, comme les fournisseurs SaaS ?

Le RGPD étend la responsabilité à toutes les organisations qui traitent des données personnelles. Si un tiers ayant accès à la base de données de votre client n’est pas conforme, votre client ne le sera pas. Cela signifie qu'elles doivent éliminer ces contrats et s'assurer que leurs fournisseurs font partie de la solution et non du problème.

De toute évidence, le RGPD ne peut pas se résumer en 10 points. Mais ceux-ci illustrent bien comment la plupart des règles reflètent simplement des pratiques commerciales judicieuses. Si les clients sont satisfaits, le régulateur le sera aussi.

Si vous pensez que vos clients ne sont pas complètement préparés, rassurez-les en leur expliquant qu'ils peuvent accomplir beaucoup de choses en 12 étapes simples et pratiques, comme l’a recommandé l'ICO britannique.