Les entreprises sont de plus en plus nombreuses à se soucier des changements à effectuer en vue de la RGPD. En effet, le Règlement Général sur la Protection des Données (en anglais : General Data Protection Régulation, GDPR) qui vise à redonner aux citoyens le contrôle de leurs données personnelles sur Internet, entrera en application le 25 mai 2018.
Les entreprises ont jusqu’à cette date pour s’adapter au nouveau règlement et en cas de non-conformité la note peut être salée : jusqu’à 20 millions d’euros ou 4% du CA mondial. On comprend alors que les dirigeants d’entreprises et particulièrement les directeurs marketing soient préoccupés.
Le Règlement Général sur la Protection des Données est un règlement européen ayant pour objectif d’accroître la protection des données à caractère personnel et vise globalement en une meilleure protection des droits des consommateurs.
Selon la CNIL, une donnée à caractère personnel est une information permettant d’identifier directement ou indirectement une personne physique. Il peut s’agir d’un nom, d’un numéro de téléphone, d’une date de naissance…
Le RGPD est un règlement européen et par définition, il sera d’effet direct. C’est-à-dire qu’il permet de garantir l’applicabilité et l’efficacité du droit européen dans les pays membres de l’UE. L'effet direct permet à tout justiciable d'invoquer directement le règlement européen devant le juge national de chaque Etat membre de l'Union Européenne. Le règlement devra être respecté sans qu'une loi de transposition nationale ne soit nécessaire.
Cette particularité permettra aux entreprises d’identifier clairement la réglementation en vigueur en Europe concernant les données personnelles.
Ce texte de loi s’applique aux entreprises qui utilisent les données personnelles.
La grande majorité des entreprises et des services publics sont donc concernés, mais ce sont les entités qui utilisent la data à des fins marketing qui sont particulièrement visées. En effet, la réglementation qui rentrera en vigueur le 25 mai 2018 portera surtout sur la gestion et l’exploitation de ces données personnelles.
Les entreprises BtoB sont donc aussi impactées : si elles collectent et traitent des données à caractère personnel permettant d’identifier des contacts, de façon automatisée et informatique, elles entrent dans le champ d’application de cette loi.
En revanche la data concernant les entreprises et les personnes morales comme des coordonnées de sièges, nombre de salariés, … sont dites publiques et donc hors du périmètre de cette régulation.
Les entreprises situées en dehors de l’Union Européenne, qui traitent des données pour leur compte ou pour celui d’un tiers, sont elles aussi impliquées si ce traitement s’applique aux citoyens européens.
Pour être conforme à ce nouveau règlement de l’UE, les entreprises devront lancer plusieurs chantiers d’organisation interne pour revoir leurs processus de collecte, de traitement et d’archivage des données.
Au 25 mai 2018, les sociétés concernées devront être en mesure de recenser tous les traitements de données personnelles qu’elles effectuent au sein d’un registre.
Ces entreprises devront être capables de renseigner :
Une entreprise recueillant des données à caractère personnel pour les utiliser à des fins marketing devront clairement recueillir l’accord explicite des personnes, tout en y apportant la preuve.
De plus, elles seront obligées d’expliquer de façon lisible et claire la finalité du traitement et l’utilisation de ces data.
Le texte de loi prévoit aussi d’interdire aux entreprises d’exploiter des données concernant des enfants de moins de 16 ans. Une autorisation explicite des parents devra être obtenue pour collecter des informations sur les goûts et intérêts de ces enfants.
Au vu du nouveau règlement européen, les consommateurs se verront attribuer de nouveaux droits.
Enfin, les entreprises devront nominer ou recruter un délégué à la protection des données ( en anglais DPO) . Il sera en charge et responsable de toutes les actions en liens avec le RGPD.
Le DPO devra mettre en œuvre dans son entreprise :
Il sera aussi en charge de déclarer sous 72h une violation des données personnelles en cas de faille informatique, de tenir le registre de données, de former le personnel de l’entreprise et d’être le principal interlocuteur avec la CNIL de son pays.