Qu’est-ce que le Règlement général sur la protection des données (RGPD) ?

Les grands acteurs du web ne sont pas les seuls à vouloir garantir l’intégrité et la sécurité des données utilisateurs. Ratifié par le Parlement européen le 16 Avril 2016 et paru au journal officiel de l’union européenne le 4 Mai 2016, le nouveau Règlement Européen sur la Protection des Données personnelles (RGPD) entrera en vigueur le 25 Mai 2018.

Cette nouvelle norme à plusieurs objectifs :

  • Consolider les droits des personnes, via des mesures comme le droit à l’oubli ou la portabilité des données à caractère personnel
  • Faire en sorte que les acteurs en charge du traitement des données personnelles soient responsabilisés
  • Améliorer la régulation des données, notamment sur la scène internationale.

Qui est concerné par cette nouvelle norme ?

Tous les états membres de l’union Européenne auront l’obligation légale de se soumettre à ces mesures de protection du consommateur. Les entreprises, prestataires et sous-traitants résidant dans un pays tiers mais ciblant des citoyens européens seront eux aussi obligés de se conformer à ce règlement. Les autorités de contrôle laissent 2 ans aux différents acteurs pour s’y soumettre.

Quels sont les risques encourus en cas de manquement au RGPD ?

La cour de justice européenne a fixé l’amende maximale à 20 millions d’euros ou 4% du chiffre d’affaires dans les cas les plus graves. Un montant particulièrement dissuasif qui risque de motiver même les entreprises les plus réticentes à réguler la collecte de données personnelles.

Quel impact marketing aura le RGPD en matière de collecte de données ?

Dorénavant, la récolte de données personnelles devra strictement servir la finalité de l’objectif. Par exemple, l’adresse d’un utilisateur ne pourra être demandée qu’en cas d’achat, dans le cadre de la livraison. En aucun cas l’adresse ne pourra être demandé lors de l’inscription sur un site web.

En résumé, les entreprises vont désormais devoir :

  • Demander un accord explicite pour chaque donnée personnelle demandée à l’utilisateur.
  • Ces données devront impérativement servir la finalité.
  • Permettre à l’utilisateurs de récupérer ses données sensibles
  • En cas de vol de données, la CNIL ainsi que les utilisateurs concernés devront être informés sous 72H.

Qu’est-ce qu’une donnée à caractère personnel selon l’UE ?

A l’heure actuel, les données à caractère personnel se composent de :

  • L’email
  • L’adresse du lieu de travail
  • La fonction au sein de l’entreprise
  • Le numéro de téléphone professionnel

Au 25 mai prochain, un élargissement des critères qualifiant les données à caractère personnel entre en vigueur.  Sont concernés :

  • Les cookies
  • Les identifiants ou numéros d’identifications
  • Les données de localisation (IP ou GPS)
  • Les éléments correspondants à l’identité physique (date d’anniversaire …), psychique, génétique ou économique.

Les principales mesures du RGPD visant à protéger ces données sensibles

Dans le cadre de cette nouvelle norme Européenne, l’utilisateur devient propriétaire de ses données, celles-ci sont simplement confiées à l’entreprise, qui en a la responsabilité. Certaines mesures de sécurité phare se dégagent de ce nouveau texte dédié à la cybersécurité :

  • L’obligation d’obtenir de la part de l’utilisateur un consentement explicite pour tout traitement de données.
  • Le droit à l’oubli : l’utilisateur pourra s’il le souhaite demander à ce que ses données détenues par une entreprise soient supprimées.
  • Le respect de la vie privé : chaque traitement de données présentant un risque pour la vie privée de l’utilisateur devra faire l’objet d’une étude d’impact.
  • La transparence : chaque individu aura le droit de savoir à quelles fins sont utilisés ses données personnelles.
  • La suppression des contacts inactifs (au bout de 3 ans)
  • Le droit à la portabilité : chaque individu aura le droit d’exporter les données le concernant

Exemple de modification à apporter sur son site web

    • Les messages du type « en poursuivant votre navigation, vous acceptez l’utilisation de cookies » devront disparaître, les utilisateurs devront désormais approuver ce profilage (« opt-in »), en cochant une case par exemple (aucune case ne devra être pré-cochée).
    • Revoir les mentions légales spécifiées sur son site.
    • Fournir la possibilité aux utilisateurs d’exporter leurs données sensibles.

crédit photo : data_protection (Ron Hovsepian).