Focus

RGPD : quelles conséquences pour les entreprises ?

Dès le 25 mai, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans l’Union européenne. Le texte, qui renforce le cadre juridique actuel, encadre l’utilisation des données à caractère personnel des individus. En établissant de nouvelles règles de transparence entre les entreprises et leurs clients, le RGPD contribue à renforcer la relation de confiance entre les consommateurs et les entreprises ; source d’opportunités et de croissances.

Les trois grands objectifs du RGPD

La protection des données est un enjeu majeur pour assurer un développement pérenne de l’économie numérique tout en faisant respecter les droits fondamentaux des citoyens. La nouvelle règlementation des données promet de répondre à trois grands objectifs :

  • Renforcer le droit des personnes :

Le règlement renforce l’obligation d’informer de façon claire et intelligible sur l’utilisation et les finalités précises des données collectées à caractère personnel. Dans la continuité de ce qui est déjà possible, les individus pourront accéder et rectifier leurs données personnelles. Pour les traitements fondés sur l’intérêt légitime de l’entreprise comme la prospection commerciale, les clients peuvent s’opposer à l’exploitation de leurs données. Concernant les traitements qui peuvent faire peser un risque important sur le respect de la vie privée (du type géolocalisation, captation des données de réseaux sociaux etc.), un consentement explicite de l’utilisateur est nécessaire.

Enfin, les clients pourront faire effacer (droit à l’oubli) ou encore transférer d’un organisme à un autre leurs données personnelles (droit à la portabilité).

Ce droit à la portabilité, introduit par le règlement européen, permet selon la CNIL de « redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée. ». Effectivement, ce droit apporte aux individus la possibilité d’accéder, de stocker et de transmettre leurs informations pour pouvoir les réutiliser à des fins personnelles.

  • Responsabiliser les entreprises

Alors que la loi de 1978 obligeait les entreprises à déclarer leurs traitements à la CNIL, le RGPD les astreint à tenir un registre des traitements ayant trait aux données à caractère personnel. Ce registre rassemble et décrit les opérations effectuées sur ces données. Il précise par exemple les catégories des personnes concernées, les destinataires des traitements, les délais de conservation ou encore si les données font l’objet de transferts notamment hors de l’Union Européenne etc.

La preuve est à la charge de l’entreprise qui peut être à tout moment sollicitée par l’autorité de contrôle.

Pour les traitements qui présentent un risque élevé pour la vie privée des individus, le nouveau règlement impose la réalisation d’études d’impact qui se substitueront progressivement aux déclarations CNIL existantes. En cas de fuite de données, les entreprises seront tenues d’avertir les personnes concernées dans les meilleurs délais et de notifier l’incident à la CNIL.

Il faut savoir que la responsabilité de l’entreprise est renforcée depuis la collecte des données jusqu’à son utilisation, y compris chez d’éventuels sous-traitants. Uniquement les données nécessaires aux traitement effectués doivent être collectés, la CNIL parle d’un principe de « minimalisation de collecte » mis en place depuis la loi de 1978.

Afin d’être en adéquation avec le règlement, les entreprises doivent nommer un Délégué à la Protection des Données (Data Protection Officer en anglais). Le DPO veille au respect du règlement dans son entreprise. Au-delà du DPO, c’est l’ensemble les collaborateurs qui doivent être sensibilisés aux risques encourus par l’entreprise en cas de mauvais usage ou non-respect de la réglementation RGPD.

  • Assurer un cadre juridique unifié au niveau Européen

Le règlement est adopté à l’échelle Européenne et s’applique lorsque l’entreprise ou le sous-traitant sont installés ou officient sur le vieux continent. Chaque donnée personnelle stockée en dehors de l’UE, par exemple sur un serveur étranger, impliquera également la conformité aux normes RGPD.

Pour tous les responsables de traitements et les sous-traitants qui ne respecteront pas les nouvelles règlementations, le règlement prévoit des sanctions pouvant aller jusqu’à un maximum de 4% du chiffre d’affaires mondial ou 20 M€.

Le RGPD au service de la relation client

Par ses exigences, le RGPD apporte plus de transparence et confère une maîtrise accrue des clients sur l’utilisation de leurs données personnelles. À terme, c’est donc le lien de confiance entre les entreprises et les individus qui devrait bénéficier de ces nouvelles mesures.

Au-delà de l’image de marque, c’est tout le suivi de clientèle des PME-TPE qui pourrait être positivement impacté par ces nouvelles mesures. Le RGPD oblige les entreprises à nettoyer leurs données et à les cartographier. Si les grands groupes ont déjà franchi le pas de l’optimisation des données, les plus petites structures tireront certainement des avantages concurrentiels d’un grand « nettoyage de printemps », notamment si elles veulent proposer des services plus personnalisés à leurs clients.

Comme on peut le constater, en renforçant le droit des individus sur leurs données personnelles, le RGPD crée les conditions d’une confiance retrouvée entre les entreprises et leurs utilisateurs. Cette plus grande transparence sécurise les informations tout en permettant aux entreprises de renforcer leur relation client sur des bases plus saines et donc plus durables.

 

Toutes vos réactions

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *