Search by category:
RGPD : Tout comprendre sur ce nouveau règlement européen

RGPD : Tout comprendre sur ce nouveau règlement européen

Jeromeweb - Web / SEO et Business » Business & e-commerce » RGPD : Tout comprendre sur ce nouveau règlement européen

Le nouveau Règlement Général sur la Protection des Données a été mis en place, dans la continuité de la Loi Informatique et Liberté, pour renforcer les pratiques des organismes et des acteurs du numérique. Et ceci pour ce qui est de la gestion des données personnelles. Vous voulez en savoir plus sur ce nouveau règlement ? Ce dossier reprend les points clés à connaître sur le RGPD afin de mieux comprendre.

Qu’est-ce que c’est que le RGPD ?

Mise en application depuis le 25 mai 2018, et comme c’est expliqué sur le portail Webmarketing & E-commerce repha.fr, le Règlement Général sur la Protection des Données (RGPD) apporte une réglementation unique pour tous les pays membres de l’Union européenne. Encore appelé GDRP (pour General Data Protection Regulation en anglais), il s’agit d’un texte qui renforce la protection des données à caractère personnel. Une réglementation qui vient, ainsi, remplacer la directive CE 95/46 pour la prise en compte des nouvelles réalités numériques. Et ceci dans l’objectif de redonner plus de contrôle aux citoyens en ce qui concerne leurs données personnelles.

Soulignons qu’on parle de donnée à caractère personnel pour désigner toute information se rapportant à une personne identifiée ou identifiable. Autrement dit, une personne physique qu’il est possible d’identifier directement par un nom ou un identifiant en ligne, un numéro d’identification, des données de localisation…

Pour ce qui est du traitement, il est reconnu dès qu’il y a collecte, consultation ou conservation de la donnée, mais aussi la communication, sans oublier la valorisation de celle-ci. Le nouveau Règlement Général sur la Protection des Données a ainsi été pensé pour affermir la notion de consentement de l’utilisateur final. Il interdit à cet effet, et par principe, tout traitement d’informations sensibles comme celles qui révèlent :

  • l’origine ethnique des personnes
  • leur opinion politique
  • leurs orientations religieuses, philosophiques, sexuelles
  • leur appartenance syndicale
  • leur santé
  • leurs données biométriques, génétiques
  • les condamnations pénales
  • etc…

Les enjeux

Puisqu’il s’agit d’un texte applicable dans les 28 pays de l’Union européenne, le RGPD concerne l’ensemble des organismes dans le monde qui proposent aux citoyens européens des biens. Les dispositions de ce nouveau règlement sont également applicables aux organismes qui enregistrent, hébergent et manipulent des données personnelles. Pour cela, 7 droits sont mis en avant ou renforcés par ce nouveau règlement. Il s’agit des droits :

  • à la transparence des informations et des communications
  • à l’accès à la donnée de la personne concernée
  • de rectification
  • à l’oubli
  • à la limitation du traitement
  • à la portabilité des données
  • d’opposition.

Pour les organismes, c’est un certain nombre d’obligations que formalise le nouveau Règlement Général sur la Protection des Données. Tout d’abord avec le principe d’auto-responsabilité, tous les acteurs économiques et sociaux ainsi que les sous-traitants doivent être en mesure de démontrer leur conformité. Le principe d’information quant à lui implique que les individus doivent être informés de leurs droits. Aussi, ceux-ci doivent tout d’abord accepter explicitement la collecte et le traitement de leurs données personnelles.

Il y a ensuite le principe de licéité qui veut que les données personnelles ne soient collectées et exploitées que dans le cadre d’un usage donné, légitime et correspondant aux missions du responsable de traitement. Avec le principe de minimisation, seules les informations strictement nécessaires sont autorisées à être conservées par les entreprises. Le « Privacy by Design & Privacy by Default » oblige la considération, en amont, de la sécurité et la gouvernance des données lors de la conception d’un produit/service comme un site web ou un site e-commerce.

Enfin, nous avons la nomination d’un Data Protection Officer ou DPO. Ceci dès qu’une entreprise (dans le privé comme dans le secteur public) exploite des données à caractère personnel à grande échelle. De plus, pour toute violation d’informations personnelles en mesure d’engendrer un risque pour les droits et libertés d’une personne, un signalement peut être faire auprès de la CNIL dans un délai de 72 h.

Il faut donc dire que la Commission européenne a prévu des pénalités pour toute pratique qui ne sera pas en conformité avec les dispositions du RGPD. Les risques sont d’une amende entre 2 % du chiffre d’affaires de l’organisme en infraction et une somme de 10 millions d’euros. En ce qui concerne le non-respect des droits des internautes, l’amende est de 4 % du CA ou un montant de 20 millions d’euros. Aussi, pour des cas de violations des obligations prévues par le règlement, les États ont la possibilité de déterminer le régime des autres sanctions applicables, comme des sanctions pénales par exemple.

Six étapes pour être conforme aux directives RGPD

Comme vous l’aurez compris, pour répondre à l’enjeu de la conformité aux directives RGPD, il faudra mettre en place une véritable gouvernance de la donnée. Cela va donc commencer par la nomination d’un DPO, le délégué à la protection des données. Le rôle de celui-ci est d’informer, de sensibiliser et de conseiller les décideurs, les responsables de traitements et les équipes de sous-traitants, sans oublier les employés. Il aura également à coopérer avec l’autorité de contrôle afin d’être le référent de celle-ci et à s’assurer du respect des dispositions du règlement.

Ensuite, il sera question de penser à identifier les traitements de données personnelles afin d’ordonner les actions pour se mettre en conformité. La troisième étape consistera alors à effectuer une analyse d’impact ou Privacy Impact Assessment (PIA), en anglais, de la protection des informations. Et ceci sur chacun des traitements identifiés. Les entreprises pourront ainsi être en mesure d’identifier les actions à mettre en place rapidement pour mitiger les risques de piratage ou de fuite de données. Surtout qu’il est maintenant exigé de signaler une faille dans un délai de 72 heures après la survenue de celle-ci.

En outre, les processus internes doivent être repensés avant de constituer, pour finir, un dossier en continu. Ce dernier concerne les traitements, l’information des personnes ainsi que les contrats sur les rôles et responsabilités des acteurs. Ajoutons aussi que ladite documentation devra être régulièrement actualisée et faire l’objet d’un nouvel examen pour une meilleure protection des données. L’objectif est de prouver sa conformité avec les dispositions du nouveau règlement.

Entrepreneur et Geek depuis plus de 20 ans.


Je vous recommande la lecture des sujets suivants :
  1. Créer un site sur la plateforme WIX
  2. Le marketing 2.0 à l’heure du choix
  3. Dropshipping : Avantages et inconvénients
  4. Amazon : distribution d’échantillons gratuits en fonction des habitudes de ses utilisateurs
  5. Pourquoi adopter une stratégie de marketing digital ?
  6. IP Centrex : comment ça fonctionne ?
  7. Prestashop : pourquoi faire appel à un consultant ?
  8. Sublimation textile : en quoi cela consiste ?
  9. Maximiser la génération de prospects avec les landing pages
  10. Scale-up : comment amorcer votre croissance efficacement ?


Entrepreneur et Geek depuis plus de 20 ans.

Post Comment