Le Règlement Européen pour la Protection des Données (RGPD) est entré en vigueur en 2018. Son objectif est de protéger les consommateurs. Il oblige en effet toutes les entreprises qui récoltent des données personnelles à informer explicitement les internautes de leur démarche. Elles doivent aussi sécuriser au maximum leurs systèmes informatiques.
Quelles entreprises sont concernées ? Quelles sont les actions concrètes à mener et quels sont les premiers retours d’expérience ? Valoxy, cabinet d’expertise comptable dans les Hauts de France, vous propose une synthèse sur le RGPD.
Le RGDP : pour quoi et pour qui ?
Le Règlement Européen pour la Protection des Données (RGPD) à pour objectif premier de protéger les citoyens de l’utilisation abusive de leurs données personnelles par les entreprises. Il s’agit aussi de les protéger des cyber-attaques. Les entreprises sont ainsi soumises à de nouvelles obligations, entrées en vigueur en deux temps au cours de cette année 2018, le 1er janvier et le 25 mai.
Les entreprises concernées par le RGPD
Le respect des nouvelles obligations du RGPD concerne toutes les entreprises qui collectent des données personnelles relatives aux consommateurs européens. Il y a par exemple
- les e-commerçants qui stockent des codes de carte bleue,
- les blogueurs qui demandent à leurs lecteurs de remplir un formulaire de contact pour l’envoi de newsletters
- ou encore les professionnels qui installent des cookies sur leur site Internet pour récolter les données de navigation.
Bref, en France, le RGPD concerne toute entreprise, de la plus petite à la multinationale, dès lors qu’elle collecte des données via son site Web.
Les dispositions du RGPD
De l’utilisation des cookies
Depuis le 1er janvier 2018, le RGPD oblige les entreprises qui utilisent des cookies (vous savez, les fameux fichiers intégrés des sites Internet, qui traquent les internautes tout au long de leur parcours sur la Toile en récupérant leurs données de navigation) :
- à informer explicitement tout internaute qui se rend sur le site de la finalité de cet outil (constitution d’un fichier, vente de données de navigation, etc.),
- à obtenir l’autorisation expresse d’utiliser ce(s) cookie(s) durant la visite sur le site. Cette obligation se traduit par une demande d’acceptation de cookie que l’internaute doit lui-même cocher (les cases pré-cochées sont interdites).
La portabilité des données
La disposition du RGPD relative à la portabilité des données signifie que les entreprises doivent être en mesure de transmettre – ou de détruire – toute donnée personnelle relative à un consommateur, sur simple demande de sa part. Pour ce faire, les informations concernées doivent être stockées dans des fichiers adéquats, dont le format est facilement modifiable, transférable ou détruit.
Nommer le responsable dédié à la protection des données
Les entreprises qui récoltent des données personnelles doivent disposer d’un responsable joignable par les internautes, apte à transmettre leurs informations, les modifier ou les détruire. Dans ce contexte, en plus des mentions légales, les professionnels doivent faire apparaître sur leur site la disposition suivante : « conformément à la loi informatique et liberté du 6 janvier 1978, modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à “indiquer le nom et les coordonnées du responsable à contacter”. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données qui vous concernent. »
Structurer son site Web de manière à protéger le consommateur
Depuis le 25 mai 2018, les entreprises qui collectent les données des consommateurs doivent structurer leur site Internet, leur système d’informations et leurs bases de données de manière à protéger les informations qui y sont stockées. C’est ici la conception même des systèmes informatiques et de leur utilisation qui doivent inclure la notion de protection des données, en y intégrant, par exemple, des outils de cryptage, un processus de renouvellement régulier des mots de passe, la limitation des personnes qui ont accès aux informations personnelles ou encore l’accès par étapes successives au cœur des bases de données, etc. Cette obligation est une obligation de moyens et non de résultats.
48 heures pour prévenir la CNIL en cas de piratage informatique
Depuis le 25 mai 2018 également, les entreprises ont l’obligation de prévenir la CNIL sous 48 heures en cas de piratage informatique.
En cas de manquement à cette obligation, l’entreprise sera contrainte de rendre public le piratage dont elle a fait l’objet. De plus, en cas de contrôle, si la CNIL constate un manquement en matière de sécurisation des données au sein de l’entreprise, elle pourra infliger une sanction financière allant jusqu’à 4 % du chiffre d’affaires de l’entreprise et 20 millions d’euros.
Premiers retours et impact de l’application du RGPD
Comme l’ont annoncé de nombreux cabinets d’audit, les entreprises n’étaient pas tout à fait conformes au RGPD à la fameuse date du 25 mai 2018 (plus de 50 % des entreprises n’étaient pas prêtes, selon le cabinet Gartner). Les professionnels français ont néanmoins traité le sujet en profondeur. Preuve en sont les dizaines de courriels que nous avons reçus dans nos boîtes de messagerie au printemps dernier sollicitant notre acceptation à l’envoi de newsletters, pour figurer dans des bases de données et autres mises en conformité. Mais, outre l’obligation d’informer les consommateurs, la vraie difficulté consiste, pour les entreprises, à sécuriser suffisamment leurs systèmes informatiques, car le RGPD mentionne une obligation de moyens mais n’oblige à réaliser aucune action spécifique.
Ce qui est sûr, c’est que les bases de données devront être constituées uniquement de contacts « opt-in » (c’est-à-dire dont le consentement a été expressément donné). L’achat de fichiers de consommateurs doit être banni. La simple souscription d’une assurance spécifique au piratage informatique est insuffisante pour se mettre en conformité avec le RGPD.
Grâce à ses équipes, et avec ses partenaires,
- Raphael Rault, avocat, ALTER VIA,
- et Thomas Masson, MANELTO, spécialiste NTIC,
Valoxy a développé une expertise pour vous permettre d’analyser vos besoins éventuels, et de répondre aux exigences du RGPD. N’hésitez pas à les appeler !
Vous souhaitez plus d’informations sur le RGPD et les nouvelles obligations en matière de sécurité des données personnelles ? Retrouvez nos articles sur le blog de Valoxy :