RGPD : Qui est concerné par cette nouvelle réglementation européenne ?

Par Alexis Quentrec
Mis à jour le 21 mai 2019, publié initialement en décembre 2017
how-to backgroundDownsell : définition, exemples et conseils pour bien l'utiliser

Le Règlement Général sur la Protection des Données, désigné encore par “RGPD”, ou “GDPR” en référence au nom anglais, entrera en vigueur le 25 mai 2018.
Ce règlement européen établit et renforce de nouvelles obligations quant à l’utilisation (c’est à dire le traitement) des données personnelles des ressortissants européens.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est une donnée liée à une personne physique, et qui la caractérise. Il s’agit donc classiquement du nom, prénom, adresse, adresse email, mais aussi la date de naissance, l’adresse IP... En somme, toute information permettant d’identifier une personne physique directement ou indirectement.

L’enjeu du RGPD est d’encadrer ces données lors de leur traitement. Par traitement, on entend l’utilisation de données à travers un service informatique afin d’atteindre un but précis.

Par exemple, un traitement consiste en l’envoi d’une newsletter à l’ensemble des personnes ayant donné leur accord : l’adresse email (avec, éventuellement, les noms et prénoms) est traitée afin de procéder à l’envoi de la newsletter.
Un traitement peut aussi consister en l’établissement de statistiques pour mieux connaître ses clients à l’aide d’outils big data, dans un but de profilage de la base client.
Enfin, il ne faut pas oublier un cas qui concerne toutes les entreprises sans exception : la gestion des paies repose également sur le traitement de données personnelles.

Quelles obligations à respecter ?

Comme son nom l’indique, le règlement porte sur la protection à apporter autour des données personnelles. Les 88 pages du règlement établissent un cadre à respecter et à construire. Nous avons listé ci-dessous quelques points notables.

Ainsi, loin de lister des points techniques à satisfaire, le règlement impose avant tout à toute entreprise de connaître précisément ses données, la façon dont elles sont traitées, selon quel processus, et par qui/quoi.
Cela permet d’aboutir à la tenue d’un registre de traitement, soit un guide de référence pour identifier clairement et rapidement les parties prenantes et les données concernées en cas d’incident de sécurité.

Le règlement encadre aussi le comportement que les entreprises doivent promouvoir envers les données des utilisateurs finaux, à savoir une transparence et une responsabilité accrue.
Les obligations de prévenir l’utilisateur en amont sur la durée pendant laquelle ses données seront utilisées, mais surtout à quelles fins et ce de façon précise et explicite, sont particulièrement à noter.

La nomination d’un Délégué à la Protection des Données (ou Data Privacy Officer en version anglaise) est aussi un élément incontournable. En effet, ce dernier est le principal artisan du respect des obligations du RGPD : responsable des analyses d’impact, point de contact avec les utilisateurs finaux et les autorités, il incarne la clé de voûte du respect du RGPD.
Ce garant du RGPD peut être commun à plusieurs entreprises, notamment d’un même secteur d’activité : le DPO peut ainsi être force de proposition pour garantir la sécurité des données personnelles au sein de services différents, mais offrant une même protection des données personnelles traitées.

Enfin, par l’intermédiaire du DPO, les entreprises devront communiquer aux autorités compétentes les fuites de données dans un délais maximal de 72 heures à compter du moment où elles en ont connaissance. L’obligation d’informer les utilisateurs dont les informations ont fuitées est aussi énoncée, et doit s’accompagner des moyens mis en oeuvre pour remédier au problème.

A qui s’impose ce règlement ?

Ce règlement s’impose aux entreprises qui procèdent à des traitements de données de citoyens européens, ou de personnes sur le territoire européen. Ces obligations portent sur toute entreprise qui dispose d’une activité en Europe, et donc naturellement à toutes les entreprises établies en Europe.

Enfin, le cas des entreprises établies à l’étranger mais qui traitent des données personnelles au profit d’entreprises européennes sont elles aussi concernées par le RGPD.

Ainsi, il n’y a pas de différence entre les éditeurs et les entreprises utilisatrices : la même préoccupation de protection des données personnelles porte sur ces deux types d’entreprises.

Des sanctions dissuasives

Le respect de ce règlement doit devenir un enjeu fort de la stratégie des entreprises : à défaut d’une prise en compte réelle et sérieuse des obligations de ce règlement, les sanctions sont lourdes.

Une sanction en cas de manquement simple peut aller jusqu’à 2% du CA de l’entreprise (dans le cas d’une entreprise faisant partie d’un groupe international, il s’agit de 2% du CA du groupe) ou jusqu’à 10M d’euros.
En cas de faute grave, la sanction est doublée. Dans tous les cas, le montant le plus élevé est retenu.

Au-delà du préjudice financier, les répercussions seront les plus fortes au niveau de l’image de l’entreprise fautive. Car l’objectif de ce règlement n’est pas de punir la fuite de données, mais de prévenir les comportements à risque des entreprises peu regardantes des données personnelles.

Éditeurs et utilisateurs, même combat ?

S’ils doivent satisfaire le même besoin de protection des données personnelles, il existe un levier commun : ces obligations incarnent une opportunité.

En effet, ce règlement a été conçu afin de permettre à tout utilisateur d’un service de reprendre la main sur des données communiquées assez facilement et traitées parfois peu de considération pour leur finalité.

Une porte est ouverte aux entreprises et aux éditeurs qui le souhaitent de mettre en avant une image respectueuse et intègre, en promouvant un traitement éthique des données personnelles.
Pour cela, anticiper les obligations du RGPD en proposant par exemple aux utilisateurs :

  • De prendre le contrôle de leurs données et de l’exploitation qui en est faite en listant clairement et précisément les différents traitements avec la possibilité d’effectuer un opt-in.
  • D’effectuer la portabilité de leurs données avec un export sous un format standard (csv, rtf,...).
  • D’effacer leurs données clairement et simplement depuis un espace dédié.
  • D’avoir un point de contact dédié pour toute interrogation quant au traitement des données.

Pour un éditeur, la valeur ajoutée va consister à se positionner comme un facilitateur, et de donner à ses clients les moyens d’être acteur notamment sur les points suivants :

  • La maîtrise des données (localisation, possibilité de masquer/chiffrer,...).
  • La communication en cas d’incident.
  • La transparence en matière d’accès et des moyens de protection mis en oeuvre.
  • La présence d’un point de contact dédié pour toute question relative à la confidentialité des données et des traitements.

Une course déjà dans le sprint final

L’entrée en vigueur du RGPD a lieu demain. Pour assurer le respect des obligations énoncées dans ce règlement, il est essentiel de s’en emparer dès maintenant, et d’anticiper les efforts à fournir.

En effet, connaître et maîtriser son patrimoine de données est un travail intense, qui doit être mené par des équipes métiers dont les préoccupations sont éloignées de ces enjeux. 
Tous les acteurs doivent coopérer et se coordonner pour assurer le respect du RGPD : s’emparer des enjeux profonds de ce règlement est une véritable opportunité d’offrir une valeur différenciante, dans un contexte lié aux données qui se transforme durablement.

Article rédigé par Alexis Quentrec, spécialiste RGPD chez Nuageo, Cabinet de Conseil Cloud Computing.

Alexis Quentrec

Alexis Quentrec,

La transparence est une valeur essentielle pour Appvizer. En tant que média, nous avons pour objectif d'offrir à nos lecteurs des contenus utiles et de qualité tout en permettant à Appvizer de vivre de ces contenus. C'est pourquoi, nous vous invitons à découvrir notre système de rémunération.   En savoir plus
Comment Anonymiser - Pseudonymiser des données en open data ?
Conseil
l’année dernière
Comment Anonymiser - Pseudonymiser des données en open data ?
Conformément au RGPD, le chiffrement est devenu une obligation afin de sécuriser les données. Business Development Manager Sécurité et GDPR Champion chez Oracle France, Jérôme Chagnoux nous apporte son point de vue d'expert sur la question de l'anonymisation des données.
RGPD : comment passer à un marketing qui valorise les données ?
Livre blanc
il y a 2 ans
RGPD : comment passer à un marketing qui valorise les données ?
Mettez votre marketing digital en conformité avec le RGPD : téléchargez le guide pour assurer la protection des données personnelles, un traitement responsable et collecter des adresses emailing récoltées avec consentements en double optin : Olivier Martineau, CEO de Spread vous dit tout !
Conseil backgroundRGPD 2018 : l’essentiel à connaître  pour préparer son entreprise
Conseil
il y a 2 ans
RGPD 2018 : l’essentiel à connaître pour préparer son entreprise
Vous n’avez pas envie de parcourir tout le site de la CNIL pour comprendre le GRPD n’est-ce pas ? appvizer vous donne l’essentiel de l’information à connaître pour mettre votre entreprise en conformité, avec en bonus les meilleurs outils pour fournir les preuves à l’autorité de contrôle en 2018. Respirez !
Comment tenir un registre des traitements conforme au RGPD ?
Conseil
il y a 2 ans
Comment tenir un registre des traitements conforme au RGPD ?
Le registre des traitements de données est l’une des obligation sà respecter pour être conforme au RGPD. Alain Garnier, CEO de Jamepot, vous explique comment le tenir en l’illustrant d’un exemple de registre tenu dans la solution Captain DPO.
Audit RGPD : lier l’utile à l’agréable
Conseil
il y a 2 ans
Audit RGPD : lier l’utile à l’agréable
Que comprend un audit RGPD ? Quel comportement adopter ? Comment se passe cette démarche visant la conformité ? Alexis Quentrec, spécialiste RGPD chez Nuageo, Cabinet de Conseil Cloud Computing, vous apporte ses lumières.
Oodrive : quand le DPO s’appuie sur des Privacy Champions
Conseil
il y a 2 ans
Oodrive : quand le DPO s’appuie sur des Privacy Champions
Face au enjeux du RGPD, le DPO n'est pas forcément isolé. Olivier Iteanu, du Cabinet Iteanu Avocats, et François-Xavier Vincent, Group CISO & DPO Oodrive, ont en effet mis en place une pratique originale chez Oodrive : les Privacy Champions.
RGPD & B2B par Adeline Lemercier
Conseil
il y a 2 ans
RGPD en B2B : entre mythes et réalités
Adeline Lemercier, responsable marketing chez Plezi nous éclaire sur le RGPD en B2B : une mise au point sur quelques idées reçues, notamment sur le Privacy Shield américain s'impose. Bonus : la checklist pour être conforme en infographie !