Le RGPD entre en vigueur le 25 mai 2018. Quel impact pour les institutions patrimoniales ?

Le règlement européen sur la protection des données personnelles entrera en vigueur le 25 mai 2018. Toutes les entreprises collectant et stockant des informations sur leurs clients sont concernées. y compris les institutions patrimoniales qui connaissent de mieux en mieux leurs visiteurs réels ou virtuels (site web et réseaux sociaux). Le CLIC France vous résume les nouvelles règles à respecter.

  • Qu’est ce que le RGPD

Le RGPD signifie « règlement général pour la protection des données personnelles ». Il désigne le nouveau texte de référence européen en matière de protection des données personnelles. Il a été conçu pour adapter et moderniser la législation et harmoniser le cadre juridique européen dans ce domaine.

  • A qui s’applique-t-il ?

Toutes les entreprises, organismes publics et associations des 28 Etats membres de l’Union européenne qui collectent des données à caractère personnel sur les résidents européens sont concernés. C’est donc notamment le cas pour les institutions patrimoniales qui collectent, stockent et utilisent de plus en plus de données de leurs visiteurs réels et virtuels.

Les organisations issues de pays en dehors de l’UE sont aussi concernées si elles collectent et traitent des données personnelles de résidents européens. Les Gafa, Uber, Airbnb et autres plateformes internationales sont donc également soumis au nouveau règlement.

  • Un nouveau texte adopté en avril 2016

Le texte du RGPD a été adopté définitivement  le 14 avril 2016 par le Parlement européen après de longues négociations, et promulgué au Journal Officiel le 27 avril 2016. Il remplace l’ancien texte de référence européen de 1995 en matière de protection des données personnelles. Cette ancienne directive avait servi en France de fondement à la loi Informatique et libertés.

Vidéo de présentation du RGPD (Cookie Connecté / CNIL):

  • Les 4 principes clés du RGPD 

Le RGPD repose principalement sur quatre principes clés : le consentement, la transparence, le droit des personnes et la responsabilité (accountability).

1/Le consentement. 

L’article 7 stipule que « le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale ». Le consentement peut être retiré à tout moment par les personnes le demandant.

Pour les entreprises à objectif BtoB, la collecte du consentement n’est pas obligatoire si la finalité de la collecte est bien respectée (les cases pré-cochées sont autorisées).

2/La transparence.

L’article 12 du RGPD stipule que les organisations doivent fournir aux individus des informations claires et sans ambiguïté sur la façon dont sont traitées leurs données.

Celles-ci doivent être accessibles par tous, via des documents contractuels, des formulaires de collecte ou les pages « privacy » des sites web.

3/Le droit des personnes.

De nouveaux droits sont apparus dans le RGPD, tel que le droit à l’oubli pour tous les utilisateurs.

Les organisations n’auront plus qu’un mois (au lieu de deux) pour supprimer les données suite à une demande. Le droit à la portabilité des données est aussi une nouveauté. Il permet à un individu de récupérer les informations qu’il a fournies sous une forme réutilisable pour, le cas échéant, les transférer à un tiers.

4/Le principe de responsabilité (accountability).

Il regroupe toutes les mesures qui visent à responsabiliser davantage les entreprises dans le traitement des données à caractère personnel. Les organismes doivent par exemple mettre en place des mesures adéquates pour garantir la sécurité des données. Elles doivent également appliquer le « privacy by design », un concept qui impose de réfléchir à la protection des données personnelles en amont de la conception  d’un produit ou d’un service. Elles doivent aussi choisir des sous-traitants qui soient conformes au RGPD ou encore désigner un data protection officer (DPO), chargé de contrôler la conformité de l’organisme avec le RGPD.

  • Le DPO, le nouveau chef d’orchestre du RGPD

Le délégué à la protection des données personnelles est chargé d’assurer la mise en conformité RGPD de l’organisme pour lequel il travaille.

Le DPO est en fait le successeur du correspondant informatique et libertés (CIL), facultatif depuis 2005, qui est chargé de veiller au respect de la loi Informatique et libertés dans les organismes publics et privés.

Mais Les missions du DPO sont plus strictes et plus larges. Il doit être doté de certaines qualifications (connaissances du droit et du texte de la RGPD) et il doit assurer un travail de conseil et de sensibilisation sur les nouvelles obligations du règlement.

Il doit s’assurer que les collaborateurs et les différents services respectent les dispositions du règlement quand ils utilisent des données à des fins commerciales ou à des fins internes (via des logiciels RH par exemple).

La désignation d’un DPO est obligatoire pour « les autorités ou les organismes publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle et les organismes dont les activités de base les amènent à traiter à grande échelle des données dites sensibles ou relatives à des condamnations pénales et infractions », précise la Cnil.

Le DPO peut être externe et mutualisé, c’est-à-dire partagé entre plusieurs organismes, sous certaines conditions. C’est notamment une possibilité pour les collectivités territoriales.

  • Que va-t-il se passer le 25 mai 2018 ?

Le RGPD doit entrer en vigueur le 25 mai 2018. Comme il s’agit d’un règlement européen, et non pas d’une directive, le texte entrera en application simultanément dans tous les Etats membres de l’Union européenne, sans transposition dans les droits nationaux. Autrement dit, le Parlement français n’aura pas besoin de voter la transposition du texte en France.

Après le 25 mai 2018, tout traitement en infraction avec le RGPD pourra déboucher sur des sanctions. Des amendes jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel de l’exercice précédent pourront être prononcées. Ce sera le montant le plus élevé qui sera retenu entre ces deux cas de figure. Cette amende vise avant tout les géants du web comme Facebook ou Google.

Si les multinationales se sont largement préparées à la RGPD avec leurs juristes et d’experts, les plus petites entités comme les TPE, PME ou associations sont moins informées sur le sujet.

  • Quel sera le rôle de la CNIL ? 

Comme auparavant, la Commission nationale de l’informatique et des libertés (Cnil) procèdera à des vérifications dans les locaux des organisations ou en ligne. Les contrôles seront effectués sur la base d’un programme annuel, des plaintes reçues par la Cnil, ou encore des informations présentes dans les médias. Ils pourront également faire suite à un précédent contrôle.

Les nouvelles obligations et les nouveaux droits résultant du RGPD (droit à la portabilité, analyses d’impact…) feront notamment l’objet de contrôles. Mais ils seront dans un premier temps non punitifs.

L’objectif est d’aider les organismes à bien comprendre les enjeux et la mise en œuvre opérationnelle des nouvelles dispositions. Si l’entité est de bonne foi et qu’elle est engagée dans une démarche de mise en conformité, la Cnil n’appliquera aucune sanction durant les premiers mois qui suivront l’entrée en vigueur du règlement.

La version finale et complète du texte RGPD est disponible en français sur le site de l’Union européenne ou sur le site de la CNIL.

Pour des conseils pratiques sur la mise en conformité à la RGPD, vous pouvez consulter la présentation faite par Marc Thévenin, Eudonet, « Dernier point sur la RGPD » durant l’atelier 37 du CLIC France.

SOURCES: Union Européenne, CNIL

Date de première publication: 15/03/2018

Images extraites du site web de la CNIL

Atelier #37 sur le thème «Billetterie, prédiction, gestion des flux et des données» / compte-rendu

RGPD : se préparer en 6 étapes (CNIL)

Vigilance – « Mise en conformité RGPD » (CNIL, 17/01/2018)

RGPD : la CNIL et Bpifrance publient un guide pratique pour les TPE/PME (blog du modérateur, 18/04/2018)

RGPD, Entre contraintes et opportunités (Eudonet, guide à télécharger)

Protection des données personnelles : les députés adoptent un amendement qui prévoit la possibilité de demander réparation en cas de préjudice (francetvinfo.fr, 26/01/2018)

RGPD : ce qui change pour les professionnels des musées (magestionbilletterie.com, 01/02/2018)

Tourisme et Culture : Données personnelles, Etes-vous prêt pour le nouveau règlement Européen ? (unigo-conseil.com, 07/02/2018)

Comment Concilier Personnalisation Et RGPD ? (TOM Travel, 13/02/2018)

Nouveau monde. RGPD : le nouveau visage des données personnelles en Europe (France Infos, 19/02/2018)

Face au RGPD, les grandes villes tranquilles, les petites fébriles (JDN, 13/02/2018)

RGPD : L’Archivage électronique est aussi concerné (Archimag, 24/11/2017)

L’entrée en vigueur du nouveau droit des données personnelles (www.livreshebdo.fr, 29/01/2018)

[Interview] Musée des Beaux-Arts de Montréal – Du CRM à la billetterie, et non l’inverse !(www.magestionbilletterie.com, 27/10/2017)

Laisser un commentaire