Grossomodo, c'est quoi le RGPD ?

A partir du 25 mai 2018, la nouvelle réglementation sur la protection des données entrera en vigueur. Vous en avez sans doute entendu parler mais, peut-être, n'en avez vous pas compris tous les aspects ? Dans cet article, nous allons vous résumer ce que ce règlement de 99 articles contient concrètement.

Le RGPD réglemente le traitement des données personnelles de tout citoyen européen. Le terme de "traitement" comprend la récupération, le stockage, le transfert ou l’utilisation de ces données. Les données à "caractère personnel" concernent toutes les informations touchant de prêt ou de loin à un individu identifié ou identifiable.

Le but du RGPD est d'améliorer les droits et l'accès des individus sur leurs données personnelles en imposant de nouvelles responsabilités aux entités qui stockent leurs données sur la manière dont elles gèrent et stockent les données qu’elles collectent.

Qui est concerné par le RGPD ?

La nouvelle réglementation du RGPD s'applique donc à toutes les entreprises et tous les indépendants qui stockent des données personnelles sur un citoyen européen. Que ce soit Facebook, votre supermarché ou bien vous-même, en tant que logopède, vous avez des obligations à respecter vis-à-vis du RGPD.

Quel est le but du RGPD ?

Le but du RGPD est de redonner le contrôle aux individus sur leur données personnelles. Les nouveaux concepts clés sont les suivants :

  • le droit d’être informé : droit de savoir comment les données personnelles vont être utilisées.

  • le droit d’accès : droit d’accéder aux données qu’une entreprise possède sur eux.

  • le droit de rectification : droit de modifier des données précédemment transmises à une entreprise.

  • le droit à la suppression : droit de supprimer les données qu’une entreprise possède sur eux.

Les 7 principes de base du RGPD :

  1. Transparence : la personne dont les données sont traitées doit en être informée et avoir la possibilité d’exercer ses droits.

  2. Limitation des finalités : les données à caractère personnel ne doivent être collectées que dans un but légitime bien précis et non à d’autres fins. 

  3. Limitation des données : seules les données à caractère personnel nécessaires pour l’objectif visé peuvent être collectées. 

  4. Exactitude : les données à caractère personnel doivent être correctes et le rester.

  5. Limitation de la durée de conservation : les données à caractère personnel ne doivent pas être conservées plus longtemps que nécessaire. 

  6. Intégrité et confidentialité : les données à caractère personnel doivent être protégées contre les accès non-autorisés, la perte ou la destruction. 

  7. Justification : le responsable doit pouvoir démontrer que ces règles sont respectées (obligation de documentation).

Consentement :

Le RGPD impose de nouvelles responsabilités aux entreprises, notamment sur la demande de consentement d’utilisation des données personnelles. Les entreprises doivent pouvoir justifier pourquoi elles collectent telle ou telle donnée. Elles ont aussi pour obligation d'être transparente sur la durée de détention des données et sur les mesures mises en place pour garantir la sécurité de ces données.

Les individus doivent avoir le contrôle de leurs données personnelles. Leur consentement n’est pas définitif, ils peuvent librement changer d’avis. C’est pourquoi un individu doit être capable d’accéder aux données qu’une entreprise possède sur lui et pouvoir faire la demande de les modifier ou de les supprimer.

Le consentement peut être obtenu de manière implicite dans certains cas, tels que l'obligation légale ou l'urgence vitale.

Concrètement, que faut-il faire ?

Le RGPD offre toute une série de recommandation et de documents à mettre en place. Le fait de préparer ces documents permet de se couvrir en cas de problème. Nous n'allons pas rentrer dans les détails car il existe de nombreuses manières de mettre en place cette infrastructure et que certains documents ou recommandations ne sont pas obligatoires pour tout le monde. Ce nouveau règlement donne néanmoins quelques bonnes pratiques à retenir et à appliquer :

  • Consentement : il est nécessaire d'obtenir au préalable le consentement d'un individu pour pouvoir stocker ses données personnelles. Il existe toutefois des exceptions que nous vous citerons plus bas dans l'article.

  • Sécurité : il est impératif que vous utilisiez ou mettiez en place un système sécurisé pour stocker les données à caractère personnel. Il est aussi recommandé de produire un document décrivant toutes les procédures mises en place pour sécuriser les données stockées. Il est fortement recommandé que ces données soient encryptées afin qu'elles ne puissent pas être lues simplement.

  • Sauvegarde : il est important de réaliser des sauvegardes régulières afin de garantir la sécurité et la pérennité des données stockées en cas de problème. Nous recommandons d'effectuer des sauvegardes quotidiennement et en plusieurs lieux, physiques ou sur la toile.

  • Transparence : la transparence est un des points phares du RGPD. Il est important d'être et de rester transparent vis-à-vis de l'utilisateur sur le "pourquoi du comment" ses données sont stockées. La transparence va également de mise dans le cas d'une fuite ou d'une perte de données. L'entreprise qui stocke des données à caractère personnel d'individus et qui subit une fuite ou une perte de ces dernières doit en informer les personnes concernées et les autorités compétentes endéans les 72 heures de la découverte de celle-ci.

  • Outillage : le RGPD impose de développer et de mettre à disposition des utilisateurs des outils de consultation, de modification et de suppression de leurs données. Il va évidemment de soit qu'il existe des exceptions et que certaines données ne peuvent pas être supprimer sans autorisation préalable de son propriétaire.

  • Listing : le RGPD recommande également aux entreprises et indépendants de créer et maintenir un document en "interne" listant l'ensemble des données récoltées sur une personne au sein de la plateforme.

Que risque-t-on ?

Théoriquement, si vous enfreigniez le RGPD, vous êtes passible d'une amende allant jusqu'à 4% ou 20.000€ de votre chiffre d'affaire annuel. Inutile de préciser que cette mesure concerne dans un premier temps les GAFA (Google, Apple, Facebook, Amazon) et que les autorités compétentes se montreront probablement plus flexibles et patientes pour les plus petites entreprises. Néanmoins, personne n'est à l'abris d'un contrôle, voilà pourquoi il vaut toujours mieux prévenir que guérir !

Cette article sur le RGPD a été rédigé sur base de recherches effectuées par l'équipe d'Assistool, et ce, dans le but d'en informer au mieux ses utilisateurs. Cet article ne peut cependant être considéré comme une référence légale. Assistool décline toute responsabilité en cas d'erreur et invite toute personne en faisant la découverte de nous la signaler aussitôt.

Avez-vous trouvé votre réponse?