Le Règlement général sur la protection des données personnelles entrera en vigueur dans moins de trois mois, le 25 mai 2018. Ce nouveau règlement vise à mieux protéger les citoyens et résidents européens au regard de leur données, et de l’utilisation qui en est faite par les entreprises. Le cadre de ce règlement s’applique notamment aux données des internautes, semées de manière consciente ou non, au gré de leur navigation sur le web. On peut aujourd’hui s’interroger sur l’état d’avancement des entreprises confrontées à cette mise en conformité.

Un alignement sur la loi « Informatique et Libertés »

La Commission nationale de l’informatique et des libertés est l’autorité compétente en charge de la protection des données personnelles en France. C’est la loi de 1978, relative à l’informatique, aux fichiers et aux libertés qui a ouvert la voie de la protection des données.

Cette dernière précise que : « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi. » Un cadre législatif a donc été instauré, avant l’explosion de l’utilisation d’internet au sein des foyers français et de la traçabilité inhérente à l’outil. Aujourd’hui, le règlement général sur la protection des données s’impose pour contraindre notamment les entreprises à garantir la portabilité des données personnelles et le droit à l’oubli. La CNIL disposera alors d’un plus grand pouvoir, au profit de la protection des données personnelles et par voie de conséquence, des internautes.

Où en sont les entreprises ?

Quelle protection des données et leur usage pour les internautes ? Les données collectées par les entreprises (qu’elles soient des pure players ou des brick and mortar) est un réel sujet de fond, source d’actions rapides à mettre en place, voire d’inquiétudes pour certaines. A ce jour, les entreprises ne sont pas tout à fait prêtes à répondre aux exigences du RGPD. En effet, l’étude Senzing avance que seules 40 % des entreprises – à l’échelle européenne (Royaume Uni, Allemagne, Italie et Espagne) – sont prêtes.

Ces données sont dites personnelles, dans le sens où elles permettent d’identifier un individu à travers notamment une photographie, une adresse email ou un prénom/nom. Les données collectées par exemple à travers les formulaires de contact pour la génération de leads (saisie de champs textes incluant à minima l’adresse email en contrepartie de l’envoi d’une ressource comme un livre blanc ou une documentation commerciale). Les entreprises déploient des moyens pour s’y conformer avant ladite date butoir, bien qu’ils impactent lourdement l’organisation, ses responsabilités et les métiers juridiques, commerciaux ou encore marketing.

RGPD : quelles exigences ?

Le Règlement général sur la protection des données porte deux axes principaux issus du chapitre 3. Le premier se réfère à la création du droit à la portabilité des données (article 20). Elle impliquera la possibilité pour des personnes de récupérer des données à caractère personnel dans un format «ouvert et lisible par une machine». Des entreprises y ont vu là une opportunité, en créant des services dédiés à la récupération de données personnelles. C’est en ce sens que le projet Mesinfos a vu le jour.

Le second est le droit à l’oubli (article 17). Il permettra aux usagers de demander l’effacement ou le retrait de données et ce dans les meilleurs délais.

Ces nouvelles dispositions devraient offrir une meilleure protection des données personnelles aux consommateurs et usagers. Reste aux entreprises à se structurer en interne et en externe pour répondre à ces exigences, sans quoi elles s’exposent à des sanctions financières agrémentées d’une mauvaise image, susceptible d’impacter sa réputation.

1 réponse

Laisser un commentaire

Participez-vous à la discussion?
N'hésitez pas à contribuer!

Laisser un commentaire