Small nick 01

Jérôme BENBIHI

GDPR : 5 idées reçues sur la mise en conformité

 levraifaux

Le futur Règlement Général sur la Protection des Données (RGPD) va changer radicalement l’approche des entreprises en matière de sécurité et traitement des données personnelles.

Le RGPD (dit GDPR - General Data Protection Regulation en anglais) repose sur une logique de responsabilisation des acteurs traitant les données, afin de simplifier, harmoniser et renforcer la protection des données personnelles sur l’ensemble du territoire européen. Mais le règlement impose de nouvelles contraintes aux entreprises, et doit être appliqué de manière systématique par toutes les entreprises et les organismes qui collectent, traitent et stockent des données personnelles de résidents de l’UE. Il sera applicable tel quel dans les 28 États membres de l'Union européenne.

Depuis la mise en place du règlement le 27 avril 2016, les entreprises avaient deux ans pour se préparer, jusqu’à l’entrée en vigueur le 25 mai 2018. Maintenant il n’en reste plus que 6 mois, le compte à rebours a commencé. Si certaines entreprises se disent conformes, une grande majorité n’est toujours pas prête, et d’autres ne savent pas qu’elles sont concernées. Voici les questions les plus fréquentes et les idées reçues à prendre en considération pour comprendre l’impact de ce nouveau règlement et comment les entreprises doivent s’y préparer.

1. Il y a des entreprises qui se demandent s’il serait suffisant de répertorier seulement une partie des données à caractère personnel, parce qu’il est impossible de répertorier la totalité, étant donné qu’elles sont réparties dans de nombreuses bases de données et systèmes de back-up au sein de l’entreprise. Certes, il est difficile, mais vous ne pouvez pas vous y soustraire parce qu’elles présentent un risque de violations. Le chef de l’entreprise est responsable du traitement des données à caractère personnel, et sa responsabilité est d’ordre pénale. Il faut donc démontrer des efforts pour inventorier les données et supprimer celles non utilisées afin de réduire les pénalités en cas d’audit. Aussi, il faut être en mesure de supprimer les informations personnelles contenues dans ses backups et archives lorsqu’une personne vous le demande.

2. D’après certaines entreprises, le fait d’avoir utilisé un modèle Opt-out dans le cadre des activités Internet, il n’y a plus besoin de recueillir un nouveau consentement de l’internaute pour utiliser ces données, sauf s’il s’y oppose. C’est une fausse idée, ne considérez pas le premier accord comme acquis. Dans le cadre du GDPR, il faudra recueillir un nouveau consentement explicite des personnes concernées dans le cadre d’un contexte spécifique, pour utiliser ou traiter des données à caractère personnel.

3. Question pareille concernant l’envoi d’e-newsletter. Ayant utilisé un modèle Opt-out, les entreprises pensent qu’il n’y a plus besoin de recueillir un nouveau consentement de l’internaute pour lui adresser des communications électroniques, sauf s’il s’y oppose. En effet, l’opt-in est la nouvelle norme dans l'Union européenne, contrairement aux précédentes réglementations, comme celle de la CNIL qui autorisait l’opt-out actif pour une personne physique dans le cadre professionnel. Désormais, l’entreprise aura besoin de demander l’accord de l’internaute avant de lui adresser des communications électroniques et l’intégrer à une liste de diffusion. De plus, cet accord ne sera valable que dans le contexte décrit.

4. Pour se conformer à la nouvelle norme, certaines entreprises pensent qu’il suffit d’envoyer à toute sa liste de diffusion un courriel demandant le consentement de la personne. Bien que cette approche semble juste, il faut contacter uniquement les personnes ayant déjà donné leur accord dans un contexte spécifique. De plus, vous ne pouvez pas obtenir un consentement pour tout type d’utilisation. Il faut expliquer comment et dans quel contexte vous utiliserez les données ainsi que les options de retrait. Pour l’utilisateur, il doit être aussi simple de retirer son consentement que de le donner. Assurez-vous d’enregistrer les réponses et leur utilisation au cas où vous seriez audité. Il est vivement conseillé aux entreprises de se faire accompagner par un conseiller juridique dans le cadre de cette mise en œuvre.

5. Les amendes annoncées sont vraiment considérables : 20 millions d’euros ou 4% du chiffre d’affaires global. Et si vous pensez qu’il est peu probable qu’elles soient réellement appliquées, alors vous vous trompez. Si les organismes de réglementation ont fixé ces amendes et qu’elles sont annoncées depuis longtemps, c’est qu’ils comptent bien les mettre en application.

La mise en conformité des entreprises est loin d’être insurmontable. Il est encore temps de s’y mettre. Vous voulez des conseils pour vous accompagner sur le RGPD ? N’hésitez pas à contacter l'équipe d’ADENIS.

Laissez un commentaire