Par Adeline Daviaud, juriste chez Proginov

Le Règlement Général sur la Protection des Données (RGPD) qui réforme le droit des données personnelles entrera en vigueur le 25 mai 2018. La communication sur le sujet de la part de nombreux acteurs (avocats, sociétés spécialisées en conseil, opérateurs, éditeurs, etc.) commence à prendre de l’ampleur et beaucoup d’entreprises s’interrogent pour savoir comment aborder cet épineux sujet.
Le texte européen ne change pas grand-chose en soi par rapport aux exigences de la CNIL déjà en vigueur en France. Ce qui change, c’est le montant des sanctions… et ça change tout. Là où le risque encouru était de 150 000 € maximum, il sera demain de l’ordre de 4% du chiffre d’affaires mondial de l’entreprise ou de 20 millions d’euros maximum. Il ne faut pas oublier par ailleurs que la CNIL, au-delà des sanctions, a un pouvoir de communication, lorsqu’elle décide de rendre les sanctions publiques, qui peut nuire fortement à l’image de l’entreprise.
Le sujet du RGPD est complexe car il est au croisement de l’informatique, puisque l’on parle de stockage de données personnelles, et du juridique, en abordant la notion de protection. Le but est somme toute assez simple, il s’agit de protéger la vie privée des personnes et pour cela, de protéger leurs données récoltées au travers des activités quotidiennes des entreprises.

Qu’est-ce qu’une donnée personnelle ?
Il s’agit bien entendu du prénom et du nom de la personne, mais aussi sa photo, sa plaque d’immatriculation, son numéro de sécurité sociale, son numéro de permis de conduire, son adresse IP, son historique de navigation, son numéro de carte bancaire, ses habitudes de consommation, etc. Bref, tout ce qui peut qualifier l’identité d’une personne.

Pour respecter la loi, il faut respecter 7 grands principes :

  1. Demander leur accord aux personnes pour lesquelles on récolte des données
  2. Expliquer l’usage qui sera fait des données
  3. Collecter ces données dans un objectif précis et s’y tenir
  4. Ne récolter des données que si nécessaire pour atteindre l’objectif
  5. Maintenir les données à jour et s’assurer qu’elles sont exactes
  6. Nettoyer les données régulièrement
  7. Sécuriser les données (stockage et flux)

Par où commencer ?

  1. Analyser les flux de données dans l’entreprise
  2. Identifier les écarts par rapport à la loi et les corriger
  3. Documenter ce que l’on fait

Si tout cela vous semble encore un peu compliqué, il peut être nécessaire de vous faire accompagner. De nombreuses sociétés proposent ce type de services. Leur assistance peut vous éviter de futures sanctions… Pensez-y !