Quels impacts aura le RGPD sur votre entreprise ?

Les meilleurs moments pour publier sur les réseaux sociaux
Les meilleurs moments pour publier sur les réseaux sociaux
février 20, 2020
126

Quels impacts aura le RGPD sur votre entreprise ?

RGPD

Quels impacts aura le RGPD sur votre entreprise ?

Depuis la publication du Règlement Général sur la Protection des Données (RGPD), les entreprises ont-elles changé leurs comportements en critère de données à caractère personnel. Le principal objectif du règlement est de renforcer la protection des données des citoyens au sein de l’Union Européenne.

L’application de ce dernier devra s’effectuer de manière stricto sensu le 25 mai 2018.  Il permettra une unification pour les Etats membres qui jusque-là étaient disparates concernant la protection des données. Il est naturel alors de s’interroger sur l’impact et les changements que va engendrer le règlement à sa promulgation.

Les changements apportés par la RGPD

Une application extra-communautaire

Par sa nature, la RGPD aura une application pour toutes les entreprises présentes sur le territoire européen. Son application sera aussi valable pour les sociétés établies en dehors de l’union et traitant des données personnelles venant d’une récolte faite par les entreprises. Ces données seront principalement focalisées sur les individus mais pas, que puisqu’il y aura une surveillance des données des organisations intra-communautaires.

Le principe de consentement

L’un des principaux changements qu’apporte le RGPD concerne le principe de consentement. A compter de la promulgation du décret, les citoyens auront un contrôle des données qu’ils veulent transférer ou non à l’entreprise avec qui ils communiquent. Ce contrôle aura des incidences plus détaillées par la suite.

Le droit à l’effacement (ou « droit à l’oubli »)

L’article 17 du règlement, permet aux personnes d’effectuer une demande de retrait de certaines informations qui pourraient nuire à leur réputation notamment.

Il y a alors un retrait de l’information pure et simple (droit à l’oubli) mais une seconde possibilité est possible avec une demande de déférencement. Dans ce cas-là, il y aura une désindexation des informations personnelles sur les moteurs de recherche.

Pour faire ces demandes, il faudra bien sûr se justifier de son identité.

Elles seront applicable en raison de 6 motifs :

  • La conservation des données n’est plus une nécessites à la vue de sa finalité
  • Le consentement de l’individu n’est plus actuel
  • La personne concernée s’oppose au traitement de ses données
  • Les données sont utilisées de manière illégale ou illégitime
  • Les données sont supprimées pour un respect de directives et obligations légales engendrées par l’Union ou l’Etat membre.
  • La collecte de données faite dans le cadre d’offres de service de la société de l’information visée pour des individus mineurs ou de moins de 16 ans
google

La portabilité des données personnelles

La récolte des données existe déjà, mais l’un des changements portera sur la visibilité de chacun concernant ces propres données. Chacun aura désormais la possibilité de recevoir les données personnelles les concernant et connaître leurs finalités. Elles seront transmises par l’entreprise en respectant un certain délai tout en intégrant (cela dépend des structures) un responsable du traitement des données pour le transférer vers une autre entité.

Cop

Quels changements concrets pour l’entreprise

La promulgation de la RGPD aura des incidences sur le comportement des entreprises mais aussi sur sa structure sans n’oublier ce droit de regard des consommateurs. Voici une présentation de ces différents changements, qui, ne l’oublions pas, seront effectif le 25 mai 2018.

La nomination obligatoire d’un délégué à la protection des données (Data Protection Officer en anglais)

Cette partie du règlement ne concerne qu’une partie des entreprises ou organismes public français. En effet, il sera obligatoire pour les sociétés possédant un effectif suffisant.

Les entreprises auront l’obligation d’intégrer dans leurs équipes un délégué à la protection des données. Ils auront pour mission d’assurer une bonne gestion des données à caractère personnel notamment les listes d’oppositions.

Ce contrôle sera bien sûr, pour un plus grand respect du règlement au sein de l’entreprise. Cela permettra d’aborder certaines questions avec les dirigeants quant à la gestion des données récupérées par l’entreprise mais aussi à son utilisation pour ne pas dévier des indications apportées.

Pour les entreprises qui ne possèdent pas un effectif aussi important cette gestion sera effectuée par une entreprise proposant ces services.

A l’heure actuelle, aucune formation ne permet d’obtenir ces compétences puisque le sujet est encore récent et mêle plusieurs domaines. Le délégué à la protection des données, doit avoir des compétences transversales notamment juridique et en gestion de base de données. Ce type de profil étant presque une arlésienne, il faudra attendre quelque temps avant de voir arrivé ce type de profil.

En attendant, les entreprises devront former leurs salariés à ces compétences spécifiques que ce soit sur IT pour les juristes ou à l’inverse des formations juridiques pour les spécialistes de gestion de données.

Une formation des collaborateurs

La seule nomination d’un délégué à la protection des données ne suffira pas puisque cette protection doit devenir une norme au sein des entreprises. Le respect du droit à la vie privé est une notion connue de chacun. Il faut informer chaque salarié de l’entreprise du fonctionnement du règlement.

Des formations complémentaires peuvent être exigées pour les employés ayant un poste stratégique sur la récupération, l’analyse ou encore l’exportation des données. Ces formations vont permettent d’être en règle avec le RGPD.

Tenir un registre des traitements des données

L’un des changements les plus radical du RGPD est l’instauration d’un registre. Ce registre sera obligatoire pour les entreprises de plus de 250 salariés. Il aura pour but de pouvoir établir l’origine des données, si un accord préalable à été accordé par l’individu mais aussi la finalité de cette dernière.

La CNIL pourra à tout moment consulter ce dernier pour vérifier s’il respecte bien les objectifs fixés.  Elle pour également vérifier les actions du responsable des données.

Un consentement explicite et la preuve

Pour éviter toutes sanctions, les sociétés qui récolteront des données sur leurs prospects et clients devront obtenir un consentement explicite. Actuellement la récolte se fait de manière implicite et les traces d’un accord ne sont pas visibles. Désormais, il faudra que la récolte soit clairement notifiée aux citoyens. Il sera indispensable de conserver ces preuves pour éviter toutes sanctions. Pour le cas particulier des mineurs, le consentement se fera par le représentant légal de ce dernier. Concernant l’opt-in BtoB, le consentement n’est pas obligatoire. Toutefois, il est fortement conseillé pour les différents partis, d’appliquer ce principe d’opt-in.

Quesaco des entreprises spécialisées en location et ventes de données

Pour les entreprises spécialisées dans la vente ou la location de données, le règlement a une politique claire puisqu’auparavant la responsabilité n’incombait que l’acheteur ou le louer. Désormais, il y aura une coresponsabilité pour l’entreprise traitant les données. Le règlement met fin à l’immunité des sous-traitants en introduisant ce principe de coresponsabilité.

Se préparer à la possibilité d’une fuite de données

Les données personnelles étant une source à risque par l’intérêt que portent les entreprises, des fuites peuvent avoir lieu. Les entreprises devront améliorer la protection de leurs données et communiquer la fuite à la CNIL sous 72 heures. La diffusion d’une fuite, ne doit pas seulement affecter la CNIL mais aussi les individus dont les informations ont circulé sans autorisation. Elle doit tout de même avoir un caractère important, voir grave, pour être notifié. Il en est de même en cas de destruction, de perte ou encore d’altération.

Un autre cas particulier concerne le transfert de données vers des pays hors Union Européenne. Il faudra alors une vérification du respect des normes de sécurité égales à celles du règlement. Si ce n’est pas le cas, il faudra alors avoir une clause garantissant la sécurité des données dans le contrat. De plus, les personnes sujettes au transfert seront prévenues au préalable si les données sont sensibles.

pexels-photo-534204

Quelles sanctions s’il y a un non-respect de la RGPD

La protection des données personnelles existe depuis quelques années. Avec la directive de 1995, l’arrivé du règlement va poser de réelles questions sur la gestion des données et surtout rendre plus sérieux. C’est avec des sanctions plus importantes que le règlement compte sur la bonne conduite des entreprises.

En effet, les montants pourront atteindre des chiffres jamais vue auparavant : 20 Millions d’euros ou 4% du chiffre d’affaires annuel mondial. Même si dans les faits, l’application de telles sanctions va s’avouer rare il n’’en reste pas moins un moyen de pression pour le respect de sa ligne de conduite.

Postes connexes

call center - télémarketing
avril 21, 2022

Qu’est-ce que le télémarketing ?

En savoir plus
objections lors d'un appel téléphonique
mars 17, 2022

Comment répondre aux objections lors d’un appel à un prospect ?

En savoir plus
Coûts cachés / coûts visible

Les coûts cachés d’un collaborateur : salaires et charges absentéisme turn-over congés payés, RTT accident de travail management

juillet 15, 2021

Les coûts cachés d’un collaborateur

En savoir plus