Le 25 Mai 2018 entrera en vigueur la loi GDPR : Règlement européen sur la protection des données personnelles : une avancée sur le contrôle des données par les citoyens.
Qu’est-ce que cette loi va concrètement changer ? Qui est concerné ? Comment s’y préparer ? Et surtout, quelles sont les attentes de vos clients en matière de protection de leurs données personnelles ? Voici notre vision de l’impact de cette nouvelle législation pour les entreprises françaises.
Quel est l’objectif de cette loi, et que va-t-elle changer ?
Le règlement européen pour la protection des données personnelles concerne toutes les entreprises européennes, privées ou publiques et entrera en vigueur en Mai 2018. Il viendra remplacer la loi informatique et libertés de 1978 en France et introduira de nouvelles dispositions. Née de la volonté de protéger les citoyens d’actes malveillants et de leur donner plus d’autonomie sur leurs données, cette loi permet également d’harmoniser la législation au sein de l’Union européenne. L’objectif étant de contraindre les entreprises à instaurer des systèmes fiables qui permettront de garantir la sécurité et le contrôle des données personnelles des consommateurs.
Voici les principaux changements sur lesquels il faudra vous pencher afin d’être en conformité avec le GDPR :
- Le droit à l’oubli pour les mineurs : lorsqu’une personne était mineure au moment de la collecte des données, elle peut exiger l’effacement de tout ou partie de celles-ci. L’exercice de ce droit disposera d’une procédure accélérée afin que la suppression se fasse dans les meilleurs délais. Pour les mineurs de moins de 16 ans, les entreprises doivent adapter leurs contenus pour que celui-ci soit intelligible par cette cible. Le consentement d’un parent ou tuteur légal est désormais obligatoire.
- La possibilité d’exercer ses droits par voie électronique : le nouveau règlement permet aux utilisateurs l’accès, la rectification ou l’opposition aux données par voie électronique (lorsque ces dernières ont été collectées par ce vecteur)
- Limiter la conservation des données : une fois que l’objectif poursuivi par la collecte de données est atteint (communication, paiement, envoi…), il n’y a plus lieu de conserver les données et elles doivent être supprimées. Une durée de conservation doit être définie et varie en fonction de la nature et de la finalité (Ex : Données médicales : 10 ans VS données relatives au paiement : uniquement le temps de la transaction).
- La portabilité des données : un utilisateur peut récupérer et transmettre toutes les données collectées d’une plateforme vers un autre réseau (réseau social, fournisseur d’accès, site de streaming …)
- Le contact unique : en cas de problème, l’utilisateur ne se retourne plus vers l’entreprise qui possède ses données mais vers l’autorité de protection des données du pays.
- Pouvoir de sanction plus fort,
- Consultation plus systématique
- Publicité automatique des avis sur les projets de loi.
La loi s’applique-t-elle à votre entreprise ?
Pour le savoir il vous suffit de répondre à quelques questions rapides :
- S’agit-il de données personnelles ? les données personnelles sont toutes les données recueillies lorsqu’un utilisateur est amené à remplir un formulaire. Ces données peuvent être directement (noms, prénoms…) ou indirectement (identifiants de compte…) identifiables.
- Allez-vous mettre en place un traitement de ces données ? s’entend par là toute opération portant sur les données telles que leur collecte, leur organisation, leur modification ou encore leur utilisation. Ce critère ne concerne pas que les informations informatisées, le classement de renseignement dans un dossier papier est également considéré comme un traitement par exemple.
- Ce traitement se fait-il dans le cadre d’activités exclusivement personnelles ? La loi informatique et libertés ne s’applique pas lorsqu’il s’agit d’un traitement automatisé pour l’exercice d’activités exclusivement personnelles (ex : des photos de vacances). Elle ne s’applique pas non plus aux copies temporaires telles que les proxys ou les serveurs de cache.
- La personne responsable du traitement des données est-elle identifiée ? En règle générale il s’agira du représentant légal de l’entreprise concernée.
Quels sont les risques encourus en cas de non-respect de la loi ?
Avec la loi informatique et libertés, la CNIL disposera non seulement d’un pouvoir de sanction pécuniaire mais également d’un pouvoir d’injonction. Ce dernier lui permettra, si elle constate un non-respect aux exigences de la GDPR, d’interdire le traitement litigieux temporairement ou de manière définitive. En outre la CNIL sera également en mesure d’ordonner la suspension d’un flux de données vers un pays hors de l’Union européenne. Sur le plan pécuniaire, l’objectif est clair et sans appel : être dissuasif. Les entreprises dont l’organisation n’est pas conforme au GDPR encourent une amende de l’ordre de 10 millions d’euros ou de l’équivalent de 2% de leur chiffre d’affaires mondial. Celles ne respectant pas les droits accordés aux personnes dont les données sont traitées encourent une amende de 20 millions d’euros ou l’équivalent de 4% de leur chiffre d’affaires mondial.
A noter par ailleurs que les sanctions pécuniaires arrivent en complément du pouvoir d’injonction.
Comment se préparer à l’application de la loi ?
A moins d’un an de l’échéance, voici les quelques étapes à suivre pour être prêt et en règle avec le GDPR :
- Désigner un pilote
Il sera chargé de la mise en conformité des processus et des pratiques avec le règlement européen. Il assurera également le dialogue en interne et auprès des autorités de protection des données, ce qui permettra de réduire les risques de contentieux.
- Cartographier le traitement des données
Il s’agit là de tenir en interne une documentation complète et à jour du traitement des données personnelles afin de s’assurer que lesdits traitements respectent bien la nouvelle réglementation. Cette cartographie permettra de connaître précisément les données recueillies par l’entreprise, les traitements qui leur sont appliqués, les objectifs poursuivis, les acteurs concernés mais aussi les différents flux ainsi que leur origine et leur destination.
- Prioriser les actions
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
- Gérer les risques
Il s’agira d’effectuer une étude d’impact pour chaque traitement identifié comme présentant un risque. Cette étude permettra de traiter les données en respectant la vie privée des consommateurs.
- Organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).
- Documenter la conformité
(Plus de détails : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes)
Et comment anticiper cette loi auprès de vos clients ? Nos conseils
Les consommateurs sont de plus en plus sollicités pour communiquer leurs données personnelles. Ils sont donc exigeants sur leur utilisation et ont un besoin de transparence. Or, pour toute entreprise, une communication pertinente nécessite « d’envoyer le bon message, à la bonne personne, et au bon moment », sans données, il est difficile de connaître ses clients. Voici quelques conseils pour être transparent, parler de la donnée et créer un climat de confiance avec vos clients :
- Affirmez l’importance que vous accordez à la confidentialité et dites clairement à vos utilisateurs l’usage que vous comptez faire des informations recueillies.
- Proposez-leur de se connecter via un site tiers (Facebook, Google ou LinkedIn…) vous leur offrez la possibilité de décider quelles informations ils acceptent de partager. Autres avantages :
- Pour l’utilisateur : la rapidité d'exécution, la non mémorisation du login et mot de passe.
- Pour l’entreprise : le stockage et la maintenance du mot de passe ne sont pas réalisés par vos soins.
- Veillez au confort de vos utilisateurs : lorsque vous les invitez à s’identifier, la procédure doit être pratique, transparente et rapide. N’oubliez pas, plus ils utiliseront des terminaux mobiles, plus ils chercheront à éviter tout processus d’authentification pour s’inscrire et/ou se connecter.
Si vous suivez scrupuleusement ces différentes étapes, l’échéance de Mai ne sera pas un problème ! Cette loi est en effet une contrainte pour les entreprises mais nécessaire pour faire perdurer qualitativement la relation avec vos consommateurs. Pour toutes vos questions, le site de la CNIL est très complet et pourra répondre à vos interrogations.