Le monde numérique tel que nous le connaissons aujourd’hui a totalement révolutionné notre quotidien. Nos données personnelles en sont les premières impactées. Avec la croissance exponentielle de l’ère numérique, ces données dites personnelles ont été collectées par divers organismes, pour être stockées, puis traitées en étant classées, transférées, vendues et bien souvent utilisées par des entreprises dont le spectre d’activité est mondial. Il était donc grand temps qu’un nouveau règlement tenant compte de cette évolution vienne appuyer la loi Informatique et libertés du 6 janvier 1978, encadrant à l’échelle nationale la collecte et le traitement des données personnelles. C’est désormais chose faite depuis le 25 mai 2018.
Le RGPD, acronyme de Règlement Général sur la Protection des Données, est une directive européenne obligeant l’ensemble des entreprises et administrations, privées comme publiques, à respecter un ensemble de règles concernant le traitement des données à caractère personnel. Avant d’approfondir le sujet avec une formation RGPD, il convient de bien saisir ce que sont les données personnelles, afin d’estimer si vous êtes concernés par cette nouvelle directive européenne.
Les données personnelles : définition
Une donnée à caractère personnelle se réfère à toute information se rapportant directement à une personne physique identifiée ou bien identifiable. On entend donc par données personnelles des informations précises telles qu’un nom, un prénom, une adresse, un numéro de téléphone, un numéro de Sécurité sociale, mais aussi des informations qui regroupées ensemble permettent d’identifier une personne, comme un âge, un numéro client, une ville, etc.
Toutes ces données personnelles sont soumises au RGPD, tout comme les données dites sensibles, telles que les opinions politiques, l’orientation sexuelle, etc, qui pour leur part doivent faire l’objet d’un traitement d’autant plus strict qu’elles exposent les personnes concernées, en cas de fuite de ces informations, à d’importants risques concernant leur vie privée. Il n’est pas rare que les organismes traitant des données personnelles dites sensibles n’aient pas conscience de l’importance de protéger ces informations comme il se doit. Pourtant, en cas de fuite de ces données, les conséquences peuvent être très graves. Une formation RGPD dispensée par un professionnel permet d’appréhender le large spectre des données personnelles et de saisir l’importance de les protéger au mieux.
L’ensemble de ces données, sensibles ou non, relèvent de la sphère privée. Elles ont donc attrait à un sujet de droit qu’est un individu. Un postulat qui a poussé plusieurs pays européens, dont la France, a réclamé que soit établi un corpus de règles encadrant strictement la collecte et l’utilisation de ces informations par des tiers. En ce sens, l’Union européenne a souhaité que la vie privée des résidents européens soit mieux protégée par les acteurs du numérique, afin que ce vaste marché prospère avec la confiance des utilisateurs.
À noter que le RGPD ne fait pas de différence entre les différents modes de collecte et de conservation des données personnelles, puisque tous sont concernés par ces nouvelles règles. Le champ d’application du Règlement général sur la protection des données est donc large.
RGPD : suis-je concerné ?
Le Règlement européen sur la protection des données concerne tous les organismes dont le siège est basé sur le territoire de l’Union européenne, et/ou qui collectent des informations concernant des résidents européens. En clair, une PME installée en Tunisie, qui traite des données personnelles de consommateurs français, est concernée par les mesures du RGPD. Tout comme une société basée en Italie, dont l’activité se concentre sur le marché américain.
Le RGPD concerne également les sous-traitants des organismes collectant ou bien procédant à un traitement de données personnelles. On entend par traitement de données personnelles toute opération consistant à collecter directement des informations, mais aussi à les trier, les conserver, les modifier, les transférer, les consulter, les diffuser et toute autre forme de disposition de ces données.
Concrètement, lorsqu’une entreprise effectue une mise à jour de ses fichiers clients, elle effectue bien un traitement de données personnelles, de même, lorsqu’un organisme consulte un fichier regroupant diverses informations sur ses fournisseurs, il s’agit également d’un traitement d’informations personnelles. Là encore, le champ d’application étant large, une formation RGPD effectuée auprès d’un expert en la matière est conseillée.
Si ce n’est déjà fait, les organismes doivent entreprendre une cartographie précise des informations qu’elles sont amenées à traiter, afin de s’assurer que l’ensemble des données personnelles collectées le soient en accord avec les nouvelles règles dictées par le RGPD. Cette étape étant particulièrement sensible, il est là encore conseillé d’avoir recours à une formation RGPD, afin d’être accompagné dans la mise en conformité de sa société avec les nouvelles directives européennes.
Une formation RGPD : être accompagné dans sa mise en conformité
Le RGPD, entré en vigueur le 25 mai 2018, a donc pour ambition d’harmoniser l’ensemble des règles européennes concernant le traitement des données personnelles, en offrant aux acteurs du numérique un seul et même cadre législatif, tout en les responsabilisant. Ce dernier point est très important, puisque les entreprises ont désormais l’obligation de mettre en oeuvre les procédures et mécanismes internes nécessaires au respect des règles relatives au RGPD. Le respect impératif de cette obligation devra pouvoir être justifié auprès de la CNIL, en cas de contrôle.
Désigner un délégué à la protection des données (DPO) fait notamment partie des obligations dictées par le RGPD aux organismes concernés. Ce délégué à la protection des données, qui peut être interne comme externe, doit posséder les compétences nécessaires à l’exercice de ses missions. Si ce n’est pas le cas, le DPO doit entreprendre une formation RGPD afin d’être en mesure d’accompagner correctement – et sereinement ! – son entreprise dans sa mise en conformité avec le nouveau règlement.
S’assurer que son entreprise est en conformité avec le RGPD, rôle du DPO, est d’autant plus important qu’outre le respect de la vie privée des personnes concernées, les sanctions en cas de non-respect sont considérables. Les sanctions appliquées par la CNIL, Commission nationale de l’informatique et des libertés, se divisent en deux niveaux :
- 2% du chiffre d’affaires ou bien 10 millions d’euros pour tout organisme qui n’aurait pas du tout mis en place les dispositions nécessaires pour respecter le RGPD.
- 4% du chiffre d’affaires ou 20 millions d’euros dans le cas d’une entreprise qui aurait de manière délibérée utilisé des données personnelles hors du cadre réglementé par le RGPD.
Laisser un commentaire
Participez-vous à la discussion?N'hésitez pas à contribuer!