RGPD : préparez votre entreprise aux nouvelles règles sur les données personnelles (sous peine d'amende)

L'humanité a produit, depuis ses origines et jusqu'en 2003, l'équivalent de 5 téraoctets (soit 5000 milliards d'octets) de données numériques. En 2010, il suffisait de deux jours pour en générer autant. Aujourd’hui, il faut moins d’une fraction de seconde ! Nous n’avons jamais produit autant de datas qu'à ce jour et la délicate question de leur encadrement se pose donc avec acuité.

 Ce 25 mai 2018, le fameux "RGPD" entre en application. Derrière ces quatre lettres se cache le Règlement européen sur la protection des données. Ce nouveau texte a pour objectif de concilier la protection de la vie privée des citoyens et l'innovation, à l’heure où de plus en plus d’entreprises collectent, stockent et analysent des masses d’informations personnelles dans le but de fournir des services personnalisés (services de localisation, assistant personnel, publicité ciblée, etc.). 

Le nouveau règlement européen entend avant tout responsabiliser les entreprises. Dorénavant, celles qui désireront utiliser les données personnelles des citoyens européens devront obtenir leur consentement et être claires sur leur utilisation. Les citoyens pourront, eux, s’appuyer sur le texte pour défendre leurs informations personnelles, s’ils estiment qu’une organisation les utilise de manière trop intrusive.

Le RGPD est en fait une mise à jour de la directive européenne de 1995. A  l'époque, les deux entreprises les plus influentes dans l’économie des données personnelles, Google et Facebook, n’existaient pas. Pour s’y conformer, la France doit réviser sa loi "Informatiques et Libertés" de 1978.

Toutes les entreprises qui offrent des produits ou services, ou surveillent le comportement des citoyens de l'Union européenne, et donc traitent leurs données personnelles. Le RGPD concerne toutes les organisations, même celles qui n’ont pas d’activité sur Internet. La liste des salariés d’une société, par exemple, est considérée comme un fichier de données personnelles. Après le 25 mai, tout infraction au RGPD pourra donner lieu à des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires.

La date butoir approchant, il devient déjà urgent de prendre le dossier en main. La CNIL propose une feuille de route pour se conformer aux nouvelles règles qui seront mises en place à partir du 25 mai. D’ici là, le régulateur sort de son rôle de gendarme pour endosser le rôle de conseiller et peut ainsi vous aider dans vos démarches, si besoin. 

Première étape : nommer un délégué à la protection des données personnelles. Cette disposition est obligatoire pour les grandes entreprises technologiques et les organismes publics, mais est fortement recommandée pour les autres. Il exercera une mission d’information, de conseil et de contrôle en interne et permettra également de faciliter les relations entre l'entreprise et le régulateur, en cas de litige.

Deuxième étape : mener une étude d'impact. Les entreprises devront répertorier dans un registre tous leurs fichiers contenant des informations personnelles et s’assurer que le consentement des citoyens a été obtenu dans les règles. Il faudra y indiquer la finalité de chaque collecte de données et y associer le nom d'un responsable au sein de l'entreprise. La CNIL propose sur son site internet un modèle de registre en format Excel.

Troisième étape : mettre en place une procédure. Les entreprises qui ont une activité sur Internet doivent effectuer un travail informatique pour répondre aux futures réclamations portant sur le droit à l’oubli ou la portabilité des données. Selon une récente étude, en moyenne, une entreprise recevra 89 demandes liées au RGPD chaque mois. Le cas échéant, la mise en place d'un process vous permettra d'y répondre au mieux.

A en croire une étude publiée l'année dernière par le cabinet Sia Partners, la facture du coût des programmes de mise en conformité au RGPD se situe autour de 30 millions d’euros pour une entreprise du CAC 40. Pour ce qui est des PME, on évoque des montants aux alentours de quelques milliers d’euros.