Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD en français, et GDPR en anglais) entrera en application. Validé en avril 2016, il renforce la protection des citoyens et accentue par conséquent les obligations de toutes les entreprises (y compris les sites de e-commerce). Quelles que soient leur taille et leur activité, elles doivent dès à présent s’organiser pour être en conformité.
Si l’entreprise est victime d’un piratage informatique de son réseau, entraînant une fuite de données à caractère personnel, elle devra en avertir la Commission nationale de l’informatique et des libertés (la CNIL) sous 72 heures. Passé ce délai ou si elle n’avertit pas cet organisme, la PME devra s’acquitter d’une amende. L’article 83.6 du RGPD précise que cette sanction peut atteindre jusqu’à 4% du chiffre d’affaires mondial annuel total de l’exercice précédent. Cependant, cette sanction ne concerne pas les TPE-PME. Les juges tiendront compte en effet des moyens et des compétences des entreprises.
Protection des citoyens
Pour schématiser, le RGDP renforce et généralise la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés en vigueur en France. Jusqu’à présent, l’obligation de notifier les violations de données personnelles ne concernait que les fournisseurs de services de communications électroniques.
Cette pression plus forte sur les entreprises s’explique par l’objectif de ce règlement : le renforcement de la protection des citoyens. Dorénavant, elles doivent obtenir un consentement explicite de la part de l’utilisateur final quant à l’utilisation ou l’enregistrement de ses données privées. Elles doivent permettre la portabilité des données personnelles aux utilisateurs qui en feraient la demande. Enfin, ceux-ci bénéficient d’un droit à la suppression de leurs données personnelles par l’entreprise qui les traite.
Données brutes
Pour la majorité des TPE-PME, la mise en conformité avec le RGDP est complexe. Cette difficulté commence dès que l’on aborde la définition d’une « donnée à caractère personnel ». Pour schématiser, il s’agit d’une donnée permettant d’identifier une personne : nom, âge, lieu de naissance, numéro de sécurité sociale… Cela concerne donc les fichiers clients et prospects, mais aussi les informations sur les salariés, intérimaires, stagiaires… ll y a aussi des « données brutes » (ou « data » en anglais), comme l’historique de navigation, les « likes » sur les réseaux sociaux et les enseignements que l’on en retire (comme des préférences déduites de cette navigation et de ces « likes »). En cas de fuites de données, les entreprises devront avertir par lettre recommandée avec accusé de réception tous leurs clients et salariés.
La sensibilisation des salariés
Seule une politique générale de protection de la vie privée, impliquant des mesures organisationnelles, juridiques et techniques spécifiques, permet d’être en conformité avec ce règlement. Les mesures techniques peuvent prendre plusieurs formes et en particulier :
- la pseudonymisation : pour éviter toute exploitation très ciblée ;
- le chiffrement (ou cryptage) : pour réduire les risques d’exploitation de ses bases de données en cas de piratage du réseau informatique ou de vol d’un ordinateur portable ;
- des sauvegardes : pour garantir l’intégrité, la disponibilité et la résilience.
Même si l’échéance paraît encore lointaine, il est indispensable de mettre rapidement en place un état des lieux de l’entreprise, afin de démarrer les actions suivantes :
- l’inventaire exhaustif des supports internes ou externes enregistrant ce type de données ;
- la sélection et l’intégration de solutions garantissant la sécurité de ce type de fichiers ;
- la sensibilisation des salariés afin qu’ils intègrent ces notions de respect de la vie privée dès la conception d’une nouvelle application, service ou même équipement recueillant des données
Autant d’objectifs plus complexes qu’ils n’y paraissent. Afin de relever ces défis, les TPE-PME devront s’entourer de partenaires extérieurs afin de les conseiller et les accompagner dans la durée.
RGPD 2018 : 11 questions clés pour les entreprises
1. Le RGPD s’applique-t-il à mon entreprise ?
Il s’applique à toutes les entreprises et administrations. Peu importe leur pays d’origine : dès qu’elles collectent ou traitent des données de citoyens européens, elles doivent respecter le RGPD. Elles devront toutes démontrer qu’elles n’utilisent que les données personnelles « strictement nécessaires » à leur activité.
2. Quelle est la date d’entrée en application du RGPD ?
Validé en avril 2016, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai 2018. Il s’appliquera de la même manière dans les 28 États membres.
3. Qu’est-ce qu’une donnée personnelle ?
Il s’agit de toute information permettant d’identifier une personne physique. Il s’agit bien sûr du nom, de sa date de naissance, de son numéro de Sécurité sociale, de son adresse IP, mais également de son email.
4. Les solutions Sage sont-elles prêtes pour le RGPD ?
Sage met tout en oeuvre pour que ses produits maintenus soient « RGPD Ready », c’est-à-dire qu’ils soient prêts pour l’entrée en application du RGPD. Sage recommande aux utilisateurs de vérifier qu’ils utilisent les dernières versions de ses logiciels. Les solutions Sage dans le Cloud, quant à elles, bénéficieront toujours des versions actualisées, les aidant au mieux à respecter leurs obligations en matière de protection des données.
5. Quelles sont les sanctions encourues ?
Le RGPD prévoit des amendes par paliers selon les fautes commises : mauvaise tenue des enregistrements, défaut de notification sous 72 heures de l’autorité de surveillance (la CNIL en France), absence d’évaluations d’impact… Ce texte précise que cette sanction peut atteindre jusqu’à 4 % du chiffre d’affaires mondial annuel contre au maximum 150 000 € (cf. Art. 47 de la Loi de 1978). Cependant, juges tiendront compte en effet des moyens et compétences des entreprises, concernant les TPE-PME.
6. En quoi le RGPD est-il différent de la Loi de 1978 ?
Il renforce et généralise la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés en vigueur en France. Il y a deux nouveautés. Premièrement, le RGPD généralise l’obligation de notification sous 72 h. Jusqu’à présent, seules les entreprises « sensibles » comme les opérateurs de télécommunications devaient le faire sous 48 h. Deuxièmement, le RGPD impose aux entreprises de réfléchir à la protection des données personnelles en amont de la conception d’un produit ou d’un service. En clair, dès que vous lancez un projet, vous devez prévoir la sécurité des données. Enfin, vous devrez demander aux internautes leur consentement explicite (et en conserver la preuve) avant de leur adresser des mailings.
7. Combien coûte la conformité au RGPD dans mon entreprise ?
Tout dépend de la taille de votre entreprise. Mais différentes mesures (entraînant des coûts) seront indispensables : audit de conformité avec le RGPD, mise en place de solutions afin de protéger ces données, sensibilisation des salariés grâce à des formations…
8. Mon entreprise doit-elle recruter un DPO ?
Le Délégué à la protection des données en français (ou Data Protection Officer) est obligatoire pour les autorités publiques et certains organismes dont les activités de base les amènent à réaliser un « suivi régulier et systématique des personnes à grande échelle », ou à traiter des données relatives à des « secteurs sensibles » tels que la santé, la religion, les opinions politiques ou l’appartenance syndicale, ou « des données en lien avec les infractions et les condamnations pénales ». Cependant, même quand ces critères ne sont pas remplis, il est conseillé de désigner un DPO.
9. Quelles sont les missions d’un DPO ?
Successeur du correspondant Informatique & Libertés (CIL) en mai prochain, il aura des pouvoirs élargis. En tant que responsable de traitement des données personnelles, il devra mettre en place les procédures adéquates afin d’empêcher notamment qu’elles soient déformées ou exploitées par des personnes non autorisées. Le DPO devra aussi vérifier que ces mesures sont bien appliquées par tous les services.
10. Mes sous-traitants sont-ils concernés par le RGPD ?
Oui. Si vous confiez vos données à un prestataire informatique ou un fournisseur dans le Cloud, vous devez vous assurer qu’il respecte bien les exigences du RGPD. Ce texte précise en effet que « dans le cadre d’un traitement réalisé par un sous-traitant », vous ne devez faire appel qu’à des entreprises présentant des « garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources ». Dans l’idéal, faire appel à un avocat pour vérifier les contrats de vos sous-traitants vous assurera de ne rencontrer aucune mauvaise surprise.
11. Les données que mon entreprise transfère en dehors de l’UE sont-elles concernées par le RGPD ?
Le RGPD n’interdit pas les transferts vers des centres de données (ou data centers) situés en dehors de l’UE. Le RGPD vise toutes les entreprises, dans l’UE ou hors UE, qui traitent des données d’individus européens. Si une entreprise hors UE traite des données de citoyens européens, elle devra s’assurer que le niveau de protection mis en place est suffisant par rapport aux exigences du RGPD. Si une entreprise hors UE ne respecte pas la réglementation européenne, elle pourrait se voir interdire toute transaction dans l’UE, jusqu’à ce qu’elle se conforme aux règles.