RGPD : QUI NE DIT MOT NE CONSENT PLUS

15-10-2019

Dans un monde où le volume de données produites et échangées au quotidien explose les tuyaux, « nul n’est censé ignorer » ... la donnée. Depuis l’entrée en vigueur du Réglement général sur la protection des données (RGPD ou en anglais : General data protection regulation), « nul n’est plus censé ignorer » ... les règles en matière de protection des données personnelles.
Et si les entreprises en doutaient encore, elles ne pourront plus « ignorer » que le traitement des données personnelles est un réel enjeu. Pour ceux qui ont osé se plonger dans la lecture, le texte européen, dense avec ses 200 pages, donne le vertige, non pas tellement en raison de ses 99 articles, mais au regard de tout ce qui est susceptible de se transformer en potentielle « donnée à caractère personnel » (DCP).
Hier, la CNIL, quand elle constatait d’éventuels manquements à la Loi Informatique et Libertés lors de ses opérations de contrôle, émettait des recommandations laissant le temps à l’entreprise de régulariser sa situation. Aujourd'hui, l’entreprise devra, à tout moment, apporter la preuve que ses mesures garantissent la conformité des traitements de données personnelles. Ce qui signifie « une protection des données en continu ».
L'entreprise devra aussi considérer toute la chaîne de traitement de la donnée. Le réglement met fin à l’immunité des sous-traitants en introduisant un principe de coresponsabilité. Contractuellement, les sous-traitants vont donc devoir s’engager, entre autres, à mettre en œuvre les mesures de protection adéquates et à alerter le responsable du traitement en cas de fuite de données.
L’entreprise se doit de tenir un registre actualisé de tous les traitements de données personnelles. Consultable à tout moment par la CNIL, ce registre comporte, entre autres, le nom et les coordonnées du responsable du traitement, le type de destinataire auquel les données ont été ou seront communiqués et la finalité du traitement.
Le règlement impose en outre à l’entreprise d’identifier le périmètre des données sensibles et préconise le cryptage ou la « pseudonymisation ». Qu’entend-on par données sensibles ? « Toute information concernant l'origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale, la santé ou la vie sexuelle », dixit la CNIL.
Pour garantir le droit du citoyen, l’entreprise devra par ailleurs obtenir le consentement express et spécifique de l’utilisateur pour que ses données personnelles soient utilisées (elle devra spécifier à chaque fois pour combien de temps et quelle finalité elle compte exploiter les données : démarchage commercial, marketing, analyse statistique, revente à des tiers, etc.), et surtout pouvoir apporter aux autorités la preuve qu’elle bénéficie de cette autorisation (une sorte de registre des consentements).
Si l’appréhension par l’entreprise des nouvelles règles reste approximative, elles ont en revanche bien saisi ce qu’elle encouraient en cas d'une violation de données à caractère personnel, l'amende s'élevant jusqu'à 4 % du chiffre d'affaires mondial annuel de la société, soit jusqu'à 20 M€. Selon les avocats spécialistes de la « privacy », il s’agirait de sanctions de la même hauteur que les délits de corruption et de cartel !

15-10-2019

ARTICLES POPULAIRES