Qu’est-ce que le RGPD ? Entretien avec Claire Mourrieras, avocate technologies de l’information au cabinet Fidal.

 Dans Actualités

La nouvelle réglementation européenne sur la protection des données s’appliquera aux établissements publics et privés dès le 25 mai 2018. Qu’est-ce que le RGPD ? À qui s’applique-t-il ? Quelles sont ses conséquences ? Entretien avec Claire Mourrieras, avocate technologies de l’information au cabinet Fidal.

Qu’est-ce que le règlement général sur la protection des données, le RGPD ?

C’est une nouvelle réglementation qui sera mise en place en France et dans toute l’Europe à partir du 25 mai 2018. À la différence d’une directive, cette réglementation s’appliquera directement dans le droit des états membres, et de la même façon pour tous.

Le RGPD va créer une sorte de marché unique de la donnée personnelle en Europe. C’est une vraie facilité pour les entreprises, notamment pour celles qui pratiquent une activité transfrontière. Il n’y a par exemple plus besoin d’être en conformité avec la loi allemande, italienne, espagnole.
Les États membres ont tout de même une marge de manœuvre et la possibilité de discuter sur certaines questions, comme l’âge de la majorité numérique.

Qui est concerné ?

Toute entité, publique ou privée, qui gère ou stocke des données sur le territoire européen ou ciblant des citoyens européens. La localisation géographique n’a pas d’importance. Ainsi, les grandes entreprises américaines (comme les GAFAs) qui traitent les données personnelles des Européens ont l’obligation de se soumettre au RGPD.

Quelles sont les données concernées ?

Ce sont toutes les données qui identifient une personne physique ou la rendent identifiable, directement ou indirectement. L’identité (le nom et le prénom) est la donnée personnelle la plus évidente
D’autres données, comme le numéro de la plaque d’immatriculation, l’adresse IP (ordinateur, téléphone), le numéro de compte bancaire, les empreintes digitales, etc., permettent de remonter jusqu’à la personne physique. Sont également concernées les données issues d’un recoupement d’informations. Ainsi, une date de naissance associée au nom d’une petite commune peut constituer une donnée personnelle.

Que change le RGPD ?

Le RGPD ne révolutionne pas le fond du droit de la donnée personnelle en France. Il reprend beaucoup de principes de la loi Informatique et libertés de 1978. Comme les notions de droit d’accès d’un usager à ses données ou de consentement. Le système d’amende et de mise en demeure ne change pas fondamentalement non plus, sauf dans leurs montants.

RGPD : comment la CNIL vous accompagne dans cette période transitoire ?

Toutefois, la gestion des données au sein des entités change radicalement. Et celles-ci s’y préparent en réorganisant leur mode de gouvernance. Les entreprises doivent désormais entrer dans une démarche de conformité, alors que la loi était auparavant basée sur un principe déclaratif.

Comment les entreprises vont-elles évoluer dans leurs gestions des données personnelles ?

Elles vont mettre en place un certain nombre d’outils et procédure, comme un registre de traitement, pour comprendre et identifier les flux de données. Tous les métiers seront mis à contribution. Car au sein de l’entreprise, le service des ressources humaines et celui du marketing n’ont pas la même gestion de la donnée personnelle.

Les entreprises peuvent aussi engager un DPO (Data protection officer). Ce pilote de la gouvernance des données personnelles a des connaissances informatique et juridique, et informe au plus haut de la hiérarchie sur la gestion des données. Le DPO peut être sous-traité ou partagé.

Les entreprises peuvent également conduire des études d’impact pour évaluer les conséquences de la gestion des données personnelles sur la vie privée des usagers.

À quoi s’exposent les entités qui ne respectent pas ce règlement ?

Beaucoup de sanctions sont prévues comme des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros. Le mode de sanction est graduel. Plus on est sanctionné, plus les amendes seront élevées.

Il y a aussi une vraie sanction en termes d’image. Ne pas être conforme au RGPD, c’est envoyer un message négatif à ses clients : l’entreprise ne protège pas les données et n’a pas une politique de gestion transparente. L’exemple récent de Facebook l’illustre. Le scandale sur l’aspiration de données a fait perdre à l’entreprise la confiance de beaucoup d’internautes et celle des marchés.

Le RGDP est-il nécessaire pour les entreprises ?

Au début, le RGDP était perçu comme une vraie contrainte. Mais je pense que c’est une belle opportunité pour sensibiliser et convaincre les entreprises à la sécurité des systèmes d’information. Ce règlement leur impose des précautions à prendre face aux risques de cyberattaque et de perte de données. Il les aide à entrer dans le cercle vertueux de la confiance et de la transparence : plus les clients sont en confiance, plus ils livrent leurs données personnelles et c’est ainsi que l’entreprise a une meilleure vue de ses clients, de leurs besoins et peut mieux interagir avec eux.

A regarder également cette vidéo intéressante issue de l’émission C dans l’air du 21-04-2018 (https://www.youtube.com/watch?v=UGEXJb5nzEQ)

Saisissez le terme recherché puis appuyez sur la touche Entrée