RGPD, 5 axes de transformation majeurs pour les entreprises

Le Règlement Général sur la Protection des Données (RGPD) est la nouvelle réglementation européenne visant à renforcer la protection des données personnelles et qui changera la gouvernance des données au sein des entreprises. Entré en vigueur en mai 2016, il sera applicable en 2018.

L'objectif principal est "d'harmoniser la protection [...] des personnes physiques à l'égard des activités de traitement et de garantir la libre circulation des données personnelles entre les États membres". Le RGPD aura donc un impact direct sur les entreprises traitant des données personnelles, mais aussi sur les clients qui reprendront le contrôle de leurs données.

Pour les entreprises, l'application de cette nouvelle réglementation les obligera à être transparentes avec leurs clients sur l'utilisation des données collectées, à adopter une nouvelle politique de protection des données et à revoir les rôles de chacun en interne.

Le texte a trois objectifs : consolider les droits des personnes physiques, renforcer les pouvoirs des autorités européennes et responsabiliser les entreprises qui traitent des données personnelles.

Le DPO, ou Data Protection Officer

Les entreprises et institutions traitant des données personnelles à grande échelle devront recruter un Data Protection Officer (DPO), ou délégué à la protection des données, dont la principale mission sera de veiller à la protection des données personnelles.

L'employeur ou son client se conforme à la législation dès lors qu'il utilise les données collectées à des fins commerciales ou internes (logiciel RH). Il doit donc avoir une vision à 360° de l'utilisation des données personnelles, un rôle transversal qui le conduit à travailler avec tous les départements d'une entreprise (direction générale, marketing, développement ou ressources humaines).

Pour ce faire, le DPO doit être impliqué dès le début du projet, cartographiant les données personnelles et les processus de traitement tout en préconisant une politique de sécurité et de confidentialité appropriée. Pour ne jamais être dans l'obscurité et risquer une violation, le DPO doit vérifier périodiquement la conformité de l'entreprise (ou de son client) sur l'utilisation des données personnelles en entreprenant des actions d'analyse d'impact, de risque et d'intrusion pour avertir la partie intéressée d'une possible violation du RGPD.

Jouer la carte de la transparence

La collecte et le traitement des données personnelles impliquent une transparence totale. Les entreprises devront déclarer explicitement aux individus l'utilisation faite de leurs données, ce qu'ils pourront ensuite refuser. En effet, la case pré-cochée stipulant que l'utilisateur accepte la collecte et le traitement de ses données personnelles à des fins commerciales sera interdite, et l'utilisateur devra alors cocher "oui" ou "non". Les institutions devront également communiquer aux consommateurs toute faille ou vol de ces données lorsque cette violation est susceptible de créer un risque élevé pour les droits et libertés des personnes physiques afin qu'elles puissent prendre les précautions nécessaires.

La responsabilité, principe fondamental du pacte européen, consiste à responsabiliser les entreprises, qui doivent être capables de prouver à tout moment qu'elles respectent les lois relatives à la protection des données personnelles en fournissant une documentation détaillée.

Protection des données personnelles

De plus, les entreprises seront interdites de transmettre les données personnelles d'un citoyen européen en dehors de l'Europe, les obligeant ainsi à cesser d'utiliser les services de sociétés étrangères (américaines, asiatiques, etc.). Cela est vrai que l'entreprise soit établie en Europe ou non, car le RGPD concerne toutes les entreprises traitant des données personnelles de citoyens européens et opérant sur ce marché.

Il sera également plus difficile pour les entreprises de collecter des données auprès de mineurs car elles devront utiliser un vocabulaire simple et compréhensible pour les moins de 18 ans, afin qu'ils ne puissent plus être confus quant à l'utilisation finale de leurs données. De plus, le consentement d'un parent ou d'un tuteur légal sera requis pour valider la collecte et le traitement des données personnelles d'un mineur. Pour que cette notion de protection des données soit respectée, les acteurs doivent intégrer nativement les normes de sécurité mises en œuvre tout au long du cycle de vie des données dans les solutions, applications (CRM, ERP, MDM, etc.) et "fournisseurs de services cloud".