Les premières dispositions du Règlement européen pour la Protection des Données (RGPD) sont entrées en vigueur le 1er janvier 2018. Une seconde partie prendra effet à compter du 25 mai. La loi, édictée par l’Union européenne et rendue obligatoire dans les États membres, est susceptible de concerner toutes les entreprises. Et ce, quel que soit leur secteur d’activité et quelle que soit leur forme juridique.
Valoxy, cabinet d’expertise comptable dans les Hauts de France, vous explique le contenu de la loi et les nouvelles obligations à suivre en matière de protection des données informatiques.
RGPD : un format qui permet la portabilité des données
Tous les professionnels constituent des fichiers de consommateurs. Ces fichiers comprennent des données nominatives (nom, adresse courriel, etc.). Depuis le 1er janvier 2018, ils doivent utiliser des formats informatiques facilement exploitables et destructibles. Cette disposition vise toutes les entreprises, du blogueur au commerçant sur Internet, dès lors qu’elles collectent et conservent ce type d’information dans leurs bases. Le règlement européen appelle cet objectif « la portabilité de données ». C’est-à-dire la possibilité pour l’utilisateur de consulter ses données personnelles, à tout moment, sur simple demande auprès de l’entreprise, mais aussi de pouvoir les modifier ou d’en exiger la destruction.
L’utilisation des cookies renforcée par le RGPD
Depuis le 1er janvier 2018, les professionnels qui utilisent un cookie sur leur site Internet sont obligés de permettre aux utilisateurs de cocher une case d’acceptation. Les cases pré cochées ne sont plus autorisées. Par ailleurs, la mention suivante doit apparaître : « Conformément à la loi “informatique et libertés” du 6 janvier 1978, modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à “indiquer le nom et les coordonnées du responsable à contacter”. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données qui vous concernent. »
Enfin, les professionnels doivent expressément informer les internautes de la finalité de l’utilisation de leurs données personnelles récoltées via le cookie.
Un système protégé de bout en bout et une sanction « bad buzz » en cas de manquement
D’autres dispositions du RGPD entreront en vigueur à compter du 25 mai 2018. Elles concernent essentiellement la lutte contre les cyberattaques. Il s’agit en effet d’imposer aux entreprises une obligation de moyens, de sécuriser au maximum leurs systèmes informatiques afin de protéger les données personnelles qui y sont stockées. Ici, les professionnels doivent construire tout leur site Web et tous leurs systèmes dans le sens de la sécurité des données, en créant par exemple plusieurs niveaux d’accessibilité pour les administrateurs, et en instaurant des mots de passe ou encore des outils de cryptage. Aucune ligne directrice expresse n’a été mentionnée par la loi (obligation de moyens), mais la CNIL pourra opérer des contrôles et pénaliser les entreprises qui n’auraient pas œuvré dans le sens de la protection des données. L’amende pourra s’élever jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros (peines plafonds).
Piratage
Par ailleurs, en cas de piratage informatique, l’entreprise disposera de 48 heures pour informer la CNIL. En cas de manquement, cette dernière sera en mesure d’opérer une médiatisation de l’affaire. Cela entraînerait alors un « bad buzz », en plus d’une sanction financière.
Notez que cette seconde étape du RGPD est assez mal appréhendée par les professionnels. Notamment concernant l’obligation de moyens de sécurisation des systèmes informatiques. En effet, leur mise en œuvre peut prendre différentes tournures. Vous exploitez vous-même des données nominatives de vos consommateurs ? Nous ne pouvons que vous recommander de vous faire conseiller par un cabinet de conseil informatique.
Pour plus d’information concernant la protection des données, retrouvez nos articles sur le blog Valoxy :