Les entreprises ont jusqu’au 25 mai pour se conformer au règlement général sur la protection des données (GDPR), un texte applicable à l’ensemble de l’Union Européenne qui vise à renforcer les droits des consommateurs face à la collecte et l’exploitation parfois incontrôlées de leurs information personnelles.
Adopté le 27 avril 2016 par le Parlement européen, le règlement général sur la protection de données – general Data Protection Regulation en anglais (ou GDPR) – va établir un cadre juridique commun à l’ensemble des 28 pays membres de l’UE sur les moyens dont usent leurs entreprises pour exploiter, conserver ou manipuler les informations personnelles qu’elles recueillent auprès des consommateurs*. Ce nouveau dispositif, qui entrera en vigueur à partir du 25 mai 2018, concerne tous types de structures (multinationales, PME, TPE) et secteurs – vente physiques et/ou e-commerce, service logistique, agences de communication, fournisseurs de solutions marketing. En France, le GDPR se substituera à la Loi Informatique et Libertés qui régit depuis 1978 le traitement des données personnelles.
Retenons trois points-clés de la réforme auxquels les entreprises seront tenues de se conformer, sous peine de s’exposer à des amendes à plusieurs paliers comprises, selon la nature des infractions constatées, entre 2% et 4% du chiffre d’affaires annuel.
1. Un droit à l’effacement
La nouvelle loi européenne confirme un droit à l’effacement ou « à l’oubli », disposition qui existait déjà dans les textes français. Toute personne est donc en mesure d’exiger « la suppression, dans les meilleurs délais, de données à caractère personnel la concernant ». Les motifs d’une telle demande sont détaillés à l’article 17 du RGPD, lequel prévoit aussi, dans son considérant 38, une « protection spécifique » pour les mineurs.
2. La portabilité des données
Nouveau principe introduit par le GDPR, la portabilité confère aux consommateurs le droit de récupérer une partie des informations qu’ils ont préalablement fournies à une entreprise, un éditeur de site en ligne ou une administration, afin de se les réapproprier pour un usage personnel ou les rediriger vers un autre destinataire. Ce transfert peut être effectué, soit par la personne concernée, soit par l’organisme qui a réceptionné, traité et stocké ces renseignements. L’article 20 du GDR précise donc que la mise à disposition (gratuite) des données doit se faire « dans un format structuré, couramment utilisé et lisible par machine », par exemple au moyen d’un système de fichier téléchargeable.
3. Un délégué à la protection des données (DPO)
Toutes instances publiques et opérateurs privés qui traitent des données personnelles à grande échelle devront désigner et mettre en place un acteur spécifique chargé de veiller à la stricte application du GDPR en interne (article 39). Ce délégué à la protection des données ou « data privacy officer » (DPO), successeur du correspondant informatique et libertés (CIL) déjà prévu par l’actuelle réglementation française, aura aussi pour mission « d’informer et conseiller le responsable du traitement, le sous-traitant éventuel et les employés » sur leurs obligations relatives au GDPR, de « coopérer avec l’autorité de contrôle » et d’être « le point de contact et de centralisation» de toutes les demandes d’application des droits des personnes évoqués plus haut : droit à l’oubli, droit d’accès, droit à la portabilité, demande de modification etc…
*Il s’agit de tout élément saisi le plus souvent via un formulaire et se rapportant à une personne physique identifiée (directement) ou identifiable (indirectement). Par exemple : nom, prénom, numéro de téléphone, adresses postale et email, numéro de plaque d’immatriculation, etc…
Consulter le règlement général sur la protection des données (GDPR) ici.