Le Règlement Européen pour la Protection des Données (RGPD) 2018

Le Règlement Européen pour la Protection des Données (RGPD) : définition et modalités d’application

Face à l’augmentation de l’utilisation des données personnelles des citoyens, mais aussi au vu de la recrudescence des cyberattaques, l’Union européenne a décidé d’agir. Son Règlement Européen pour la Protection des Données - dit « RGPD » - est entré en vigueur le 1^er janvier 2018. Il s’applique à toutes les entreprises qui exploitent des données personnelles relatives aux citoyens européens, même lorsqu’elles sont implantées hors de l’Union. En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui est chargée de contrôler les entreprises de la bonne application du RGPD.

Notez que le Règlement Européen pour la Protection des Données (RGPD) entre en vigueur en deux temps :

• - la première partie du RGPD est entrée en vigueur le 1^er janvier 2018
• - une seconde partie du RGPD entrera en vigueur à compter du 25 mai 2018

Le RGPD 2018 : qui est concerné ?

En France, tous les professionnels sont concernés par le RGPD, quel que soit leur statut juridique (y compris les auto-entrepreneurs), leur effectif ou leur secteur, à condition qu’ils stockent des informations nominatives des consommateurs : noms, coordonnées, codes de carte bancaire, mails, centres d’intérêt...). Ce sont surtout les entreprises du e-commerce ou des services sur Internet qui sont concernées.

Dispositions du Règlement Européen pour la Protection des Données en janvier 2018

De manière générale, le RGPD vise à renforcer les droits des citoyens, mais sa première partie, entrée en vigueur le 1^er janvier 2018, est axée sur l’utilisation des données personnelles par les entreprises. La seconde partie du RGPD 2018, qui entrera en vigueur au mois de mai, est plus axée sur le risque de cyberattaque.

La portabilité des données : l’obligation phare du RGPD 2018

Depuis le 1^er janvier 2018, le RGPD impose aux professionnels qui constituent des fichiers de consommateurs ou de clients impliquant des données nominatives d’utiliser des supports facilement exploitables. Plus exactement, les fichiers qui comportent des données nominatives doivent être constitués sur des formats facilement modifiables, mais aussi transférables ou détruits, sur simple demande du consommateur.

En bref, cette nouvelle obligation relative au Règlement Européen pour la Protection des Données 2018 (RGPD) est appelée « obligation de portabilité des données. »

Rappelons que les professionnels qui disposent de ce type de fichier doivent également opérer une déclaration simplifiée auprès de la CNIL en utilisant le site : declarations.cnil.fr. Cette obligation était déjà en vigueur avant le Règlement Européen pour la Protection des Données.

Une nouvelle réglementation relative à l’utilisation des cookies

Depuis le 1^er janvier, le RGPD impose aux entreprises qui utilisent des cookies sur leur site Internet d’informer les visiteurs de la finalité de leur démarche (constitution de fichier, revente...). De plus, les Internautes doivent expressément accepter le cookie (les cases précochées sont bannies). Enfin, en plus des habituelles mentions légales, les entreprises doivent désormais rédiger la disposition suivante :

« Conformément à la loi “informatique et libertés” du 6 janvier 1978, modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à “indiquer le nom et les coordonnées du responsable à contacter”. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données qui vous concernent. »

Les dispositions du RGPD à partir de mai 2018

Structurer tout son système informatique dans le sens de la protection des données

À partir du 25 mai 2018, en vertu du RGPD, toutes les entreprises qui collectent des informations nominatives devront pouvoir justifier d’une structure informatique capable de protéger les données personnelles qu’elles stockent. La structure même des sites Internet devront inclure la notion de protection des informations personnelles, tout comme les bases de données et tous les systèmes informatiques des entreprises via, par exemple :

• des outils de cryptage
• le renouvellement constant des mots de passe
• l’accessibilité des données à un nombre limité de personnes
• différentes étapes pour accéder aux informations personnelles

Cette disposition du RGPD évoque une obligation de moyen et non de résultat avec un risque de pénalité pouvant s’élever à 4 % du chiffre d’affaires de l’entreprise et 20 millions d’euros en cas de contrôle de la CNIL.

L’obligation de prévenir la CNIL sous 48 heures en cas de cyberattaque

Enfin, à partir de mai 2018, le RGPD obligera toutes les entreprises qui subissent une cyberattaque à informer la CNIL sous 48 heures pour enquête. Si celle-ci révèle un manquement, en plus de verser les sanctions financières évoquées ci-dessus, les entreprises devront rendre l’événement public en prévenant les consommateurs concernés et les médias.

Le RGPD 2018, qu’en pensent les entreprises

De manière générale, les entreprises semblent prêtes à jouer le jeu du Règlement Européen pour la Protection des Données (RGPD), mais elles restent toutefois perplexes quand aux dispositions qui s’appliqueront à partir du mois de mai, particulièrement celle relative à l’obligation de moyens de sécuriser leurs systèmes informatiques. D’après une enquête menée par Channel News en décembre dernier, 40 % entreprises européenne interviewées se disaient prêtes au RGPD alors qu’en réalité, elles n’étaient que 5 % à respecter les dispositions qui entreront en vigueur en mai 2018.