RGPD ; quelles implications pour l’entreprise et le citoyen ?

Peut-être que vous n’y avez pas prêté attention, ces dernières semaines, la majorité des sites Internet auxquels vous êtes abonnés vous demandent d’accepter leurs nouvelles conditions d’utilisation ou leurs nouvelles règles de confidentialité. Certains d’entre eux précisent que lesdites nouvelles mesures sont applicables à partir du 25 mai 2018.  Pourquoi ces demandes soudaines ?  C’est que le monde était à l’approche du 25 mai 2018, date de la mise en vigueur du RGPD.

RGPD; implications pour l’entreprise et le citoyen

C’est quoi le RGPD ?

Le RGPD est le Règlement Général sur la Protection des Données. En anglais GDPR : General Data Protection Regulation.  Ce règlement européen a été adopté le 26 avril 2016, publié le 4 mai 2016 au journal officiel de l’Union européenne. Il est entré en vigueur le 25 mai 2018 et a pour vocation de donner aux utilisateurs de l’Internet le plein contrôle sur leurs données personnelles.  Cette mesure a aussi pour effet de conduire à un changement d’approche pour les entreprises de leur façon de gérer les renseignements personnels de leurs clients ou de tout autre résident de l’Union européenne avec lesquels elles font affaire et pour lesquels elles manipulent les renseignements personnels.  Le RGPD a trois principaux objectifs :

  1. Renforcer les droits des personnes eu égard à leur renseignements personnels ;
  2. Accroitre la responsabilité des opérateurs traitant des données personnelles ;
  3. Rendre la régulation crédible.

Pourquoi le RGPD ?

Les dispositions du RGPD ne sont pas nouvelles.  En effet,  elles ne font que permettre le renforcement des mesures existantes au niveau des pays avec notamment les sévères sanctions qui s’imposent en cas de non-conformité.  Le RGPD s’est avéré une nécessité face à la perte de confiance de l’utilisateur dans Internet et pour promouvoir la protection des renseignements personnels de l’utilisateur.  Comme corollaire, il aura aussi pour effet de faire grandir la maturité du numérique et renforcer le développement du commerce électronique.

Les grands principes du RGPD

Pour atteindre ses objectifs, le RGPD s’est doté de certains grands principes  en ce qui concerne notamment les données elles-mêmes et le traitement des données .

Concernant les données, les grands principes sont notamment la transparence, la limitation des finalités, la minimisation des données, la limitation dans la conservation des données, l’exactitude des données, la sécurité, l’intégrité et la confidentialité des données.  Par ces principes, le RGPD entend à ce que les entreprises qui collectent les renseignements personnels des citoyens de l’Union Européenne encadrent leurs actions par des mesures responsables. Ainsi, les utilisateurs doivent être informés de la nature des données collectées de même que sur la finalité de la collecte.  De cette façon, les données ne peuvent pas être utilisées à des fins pour lesquelles la collecte n’était pas destinée. Les données recueillies ne doivent pas non plus être conservées au-delà de la  durée nécessaire à l’accomplissement des finalités pour lesquelles elles étaient recueillies.  De plus, les données de l’utilisateur doivent être recueillies conservées, traitées et détruites en tenant compte des objectifs de sécurité de l’information notamment l’intégrité et la confidentialité.

Concernant les traitements, les grands principes sont notamment le consentement de la personne et  la nécessité objective du traitement.  Ainsi tout traitement de données personnelles doit recevoir le consentement de l’utilisateur concerné.  De même, ce traitement doit être nécessaire à la réalisation d’actes convenus entre l’entreprise et l’utilisateur, comme la réalisation d’un contrat par exemple, ou à l’exécution d’une obligation légale.  Ou encore le traitement des données doit répondre à la nécessité de la sauvegarde des intérêts des parties y compris des sous-contractants.

Droits de l’utilisateur ou du citoyen

On comprend bien qu’avec l’entrée en vigueur du RGPD les droits des utilisateurs sur leurs données personnelles sont renforcés. Ces principaux droits sont notamment :

  • Le droit à l’information et le droit d’accès;
  • Le droit à l’obtention de la rectification;
  • Le droit à l’obtention de l’effacement des données, droit à l’oubli ;
  • Le droit à la limitation des traitements.

Le RGPD apporte donc un nouveau paradigme pour les entreprises en leur imposant une nouvelle obligation de la gouvernance des données.  Est notamment pris en compte le principe du Privacy by design / Privacy by default qui veut que les mesures de protection des renseignements personnels soient prises en compte dès la conception de tout projet de l’entreprise. Vous trouverez plus de détails sur le Privacy by Design dans mes précédents articles.

Les sanctions au titre du RGPD

Pour forcer à la bonne gouvernance des données, la vraie nouveauté apportée par le RGPD réside surtout dans la sévérité des sanctions qu’il impose en cas de non-conformité.  En effet, le RGPD prévoit des sanctions extrêmement lourdes; Le montant le plus élevé sera celui appliqué :

  • Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, pour manquement à la gouvernance des données (Privacy by design, PIA etc.);
  • Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial total de l’exercice précédent,  pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).

 A ces sanctions administratives peuvent s’ajouter des sanctions pénales à appliquer à la discrétion des états concernés.  Suivant les dispositions de l’article 84  alinéa 1, les États peuvent déterminer le régime des sanctions applicables en cas de violation des obligations prévues, autres que les sanctions administratives. Voici la teneur de cet article :

« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives.»

Quelles implications pour le reste du monde?

Puisqu’il s’agit d’une réglementation européenne, en quoi le reste du monde est-il concerné ? C’est la première question qui vient à l’esprit des entreprises non européennes. Au cas où elles collectent ou traitent des données personnelles des résidents de l’Union Européenne, elles sont concernées par le RGPD.  Le RGPD est donc un règlement ayant un caractère extraterritorial et les mêmes lourdes sanctions s’imposent pour les entreprises du reste du monde. Voir à ce sujet l’article de la presse canadienne attirant l’attention des firmes canadiennes sur leur obligation de conformité au RGPD.

Du point de vue de la protection de ses propres données personnelles, tout le monde est concerné. Car il incombe à chaque individu de s’intéresser à la protection de ses informations. Voir à ce sujet le texte de l’ancien directeur du Conatel en Haïti : Qui est concerné par la protection des données personnelles sur Internet ?

De son côté, le site GoDaddy a présenté une liste de pays impactés par le RGPD en annonçant « qu’à partir du 25 mai 2018, le service WHOIS doit être modifié conformément au RGPD. Lorsqu’une recherche Whois est effectuée dans un domaine enregistré auprès de l’EEE (Espace économique européen), les résultats n’afficheront que les informations techniques du domaine, le pays et l’état/la province du déposant. Cela a une incidence sur les clients GoDaddy de l’EEE ainsi que sur ceux des pays utilisant les mêmes langues et les mêmes devises que les régions concernées par le RGPD . »  Cependant, vu le caractère extraterritorial du règlement, cette liste ne semble pas complète; les enjeux de protection des renseignements personnels concernant en effet les entreprises de tous les pays.

Il est aussi à prévoir qu’à l’instar des entreprises, les organismes gouvernementaux devront se mettre en conformité avec le RGPD. Cela entrainera à n’en pas douter des orientations et des positionnements gouvernementaux à l’égard de cette nouvelle règlementation ; et cela dans un objectif de protection des citoyens.

Déjà des plaintes

Après seulement quelques jours de l’entrée en vigueur du règlement des plaintes sont déjà portées contre les géants du Web au titre de la non-conformité au RGPD.  En témoignent les manchettes suivantes rapportées par la presse spécialisée sur le sujet :

  1. RGPD : une plainte demande déjà des milliards d’euros à Google et Facebook;
  2. RGPD : premières plaintes contre les géants du Web en France et en Europe;
  3. RGPD : La Quadrature du Net dépose 5 plaintes contre les GAFA.

Le RGPD inaugure, bien sûr, une nouvelle ère dans l’utilisation des renseignements personnels par les entreprises. Espérons que son application avec le temps, et la maturité numérique qu’il entrainera, pourront aider à une protection effective de nos informations personnelles et permettre ainsi une utilisation plus sereine du Réseau mondial et la sécurisation des échanges électroniques.

Author: Lyonel Vallès, CISM, CISA, CRISC

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *