Au cours du mois à venir, il est fort probable que l’acronyme RGPD soit au cœur de l’actualité, notamment au sein des entreprises.
Ce règlement européen (Règlement Généralisé de Protection des Données) entre en vigueur le 25 mai 2018, deux ans après son adoption par le Parlement Européen. Voici quelques éléments pour vous familiariser avec ce texte d’apparence complexe mais qui nous concerne tous !
Le RGPD, qu’est ce que c’est ?
De dimension européenne, ce texte vise à protéger les données à caractère personnel collectées par les entreprises à des fins commerciales ou administratives. La législation en la matière n’ayant pas anticipé le rythme de développement de la technologie numérique, les textes existants se sont vite trouvés dépassés, laissant place à un vide juridique facilement exploitable (et de fait exploité) par les entreprises. En 2012, la Commission Européenne a proposé une réforme globale de la législation de la protection des données à caractère personnel. Il aura fallu quatre ans de négociations ardues pour arriver à une version finale du texte : le RGPD. Ce dernier prétend offrir un cadre harmonisé et renforcé de la protection des données au sein de l’Union Européenne, et est applicable tant aux entreprises de l’Union Européenne qu’à celles établies en dehors de l’Union qui traitent des données concernant des activités réalisées au sein de l’Union.
Quelles applications concrètes ?
Principal changement pour l’utilisateur lambda, avec le RGPD, chaque individu a le droit d’accéder à ses données personnelles détenues par les entreprises et de les modifier. Chacun sera aussi en mesure de refuser l’utilisation de ces données, notamment à des fins commerciales. Les entreprises seront donc dans l’obligation de demander l’autorisation de collecter ces données, sans doute par le biais de l’ouverture intempestive de fenêtres « pop-up ». Par ailleurs, les entreprises seront dans l’obligation de signaler avant 72 heures toute violation de données à caractère personnel.
Quid des entreprises et surtout des TPE/PME ?
Beaucoup d’entreprises s’inquiètent de l’ampleur des dispositions à prendre pour appliquer ce nouveau règlement. Cependant, le RGPD reprend des principes qui étaient déjà en grande partie déjà en place au niveau national. Le principal changement apporté par le règlement est l’harmonisation des règles au niveau européen, qui permettra d’éviter les dérives et le contournement des lois nationales. Par ailleurs,le RGPD met en place un système de sanctions très dissuasif avec des indemnités allant jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise incriminée ou 20 millions d’euros en l’absence de revenus.
Isabelle Falque-Pierrotin, présidente de la CNIL, s’est cependant voulu rassurante lors de la présentation cette semaine d’un Guide Pratique de sensibilisation au RGPD » ayant vocation à aider les entreprises à se familiariser et à mettre en œuvre les nouvelles règles. « Le RGPD se serait fait soi-disant au détriment des entreprises et en particulier des plus petites. C’est une position délétère et fausse car le RGPD est facile pour les PME, il n’y a pas forcément de contraintes nouvelles, ce sont avant tout des principes de bon sens. […] Il faut en finir avec l’alarmisme sur le RGPD ! Un couperet ne va pas tomber sur les entreprises le 26 mai ».