Le Règlement Général sur la Protection des Données (RGPD) s’apprête à bouleverser le paysage numérique avec son entrée en vigueur prévue le 25 Mai 2018. Celui-ci suscite beaucoup de questions, et nous allons à travers cet article vous permettre d’y voir plus clair.

La donnée prend de plus en plus d’importance dans notre société. Tant d’un point de vue de son volume, que de par sa valeur. Les géants du web comme Google, Facebook, et Twitter articulent leurs business model autour des données de leurs utilisateurs. De plus, nous vivons dans un monde de plus en plus connecté (smartphones, objets connectés, véhicules autonomes …).

La donnée est devenue le nouveau pétrole – Clive Humby Cliquez pour tweeter

Toutes ces données que nous générons sont confiées à des tiers afin d’améliorer notre quotidien en proposant à chaque utilisateur une expérience personnalisée. Cependant, certaines questions subsistent concernant notre vie privée :

  • Quelles sont les données collectées ?
  • Où sont stockées ces données ?
  • Que fait-on de nos données ?
  • Que savent les entreprises à propos de nous ?

Afin d’éviter tout abus de la part des organisations détenant les données des utilisateurs et de préserver leur vie privée, il était nécessaire qu’une législation soit mise en place.

Le RGPD – Règlement Général sur la Protection des Données

L’objectif principal du RGPD est de s’assurer que les organisations mettent en œuvre des règles de sécurité strictes pour protéger les données personnelles des individus.

Le RGPD va permettre :

  1. D’uniformiser au niveau Européen la règlementation sur la protection des données
  2. De responsabiliser d’avantage les organisations en développant l’auto-contrôle et par la mise en place de sanctions
  3. De renforcer le droit des personnes en donnant la possibilité à toute personne de demander l’accès à ses données, de demander à être déréférencé (droit à l’oubli), et le droit à la portabilité des données.

RGPD - Europe

A qui s’applique le RGPD ?

  • À tout organisme privée ou publique des 28 Etats membres de l’Union Européenne
  • Plus précisément aux entreprises proposant des biens et services sur le marché de l’Union Européenne, collectant et traitant des données à caractère personnel sur les résidents de l’Union Européenne.
  • Les entreprises non implantées en Union Européenne collectant des données personnelles sur les résidents de l’Union Européenne

Une donnée à caractère personnel correspond à toute information se rapportant à une personne physique identifiée ou identifiable. Une personne peut être identifiée directement via son nom et prénom, ou indirectement via un identifiant, ou un numéro de téléphone ou un numéro de sécurité sociale par exemple.

Le RGPD repose sur 4 grands principes :

  • Le consentement
  • La transparence
    • Je sais où sont mes données personnelles
  • Le droit des personnes
    • On donne la possibilité aux personnes de dire oui ou non
  • La responsabilité
    • Des collecteurs de données
    • Des organisations effectuant des traitements sur les données et leurs sous-traitants
    • Des donneurs de données

Les organisations seront tenues d’informer leurs clients et utilisateurs des données qu’ils collectent et utilisent dans leurs traitements, et les utilisateurs auront à tout moment le droit de retirer leur consentement. Les organisations seront alors dans l’obligation de supprimer la donnée pour laquelle le consentement a été retiré.

Les organisations ne respectant pas la législation seront passible d’une amende pouvant aller jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaire mondial.

Il deviendra obligatoire de désigner un délégué à la protection des données – ou Data Protection Officer (DPO) – pour les organismes publics, et les entreprises dont l’activité de base les amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Le Délégué à la Protection des Données sera la personne vers qui se tourneront les membres de l’organisation concernant les données. Son rôle est :

  • D’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés
  • De contrôler le respect du règlement et du droit national en matière de protection des données
  • De conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution
  • De coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci

RGPD - Data Lock

La confiance des utilisateurs

La confiance des utilisateurs est cruciale pour l'économie numérique – Stéphane Nappo Cliquez pour tweeter

Cette nouvelle réglementation s’articule autour de deux principales composantes :

  • L’obtention du consentement du client pour l’acquisition de ses données
  • S’assurer que les données acquises restent protégées et sécurisées

En 2017, l’agence américaine de notation de crédit Equifax a été piratée. Les rapports suggèrent que les pirates informatiques ont volé les détails privés et sensibles de plus de 143 millions d’utilisateurs.

La plus grande banque d’Australie, Commonwealth Bank, a récemment annoncé avoir perdu les données financières de ses 12 millions de clients. Et tout le monde a entendu parler de la faille de données Facebook de Cambridge Analytica qui a touché 87 millions d’utilisateurs.

Des violations de données comme celles-ci peuvent sérieusement ébranler la confiance des utilisateurs dans les organisations privées et publiques. Dans l’exemple de Facebook, un grand nombre d’utilisateurs ont fermé leurs comptes et Facebook a perdu 50 milliards de dollars en valeur boursière. C’est pourquoi l’UE a rendu les organisations responsables de la sécurité des données qu’elles collectent.

Vous l’aurez compris, il est crucial pour les organisations de prendre des mesures strictes concernant la protection des données. Le RGPD est donc une opportunité pour celles-ci de rétablir la confiance avec leurs utilisateurs.

Le numérique est assez sophistiqué pour combiner sécurité, commodité et confidentialité personnelle – Stéphane Nappo Cliquez pour tweeter