Un petit rappel du RGPD

La communication ciblée ou la gestion de base de données prospection dans une stratégie marketing, l’analyse comportementale des clients, la gestion des données Ressources humaines, autant d’actes qui semblaient auparavant anodins au sein d’une entreprise, et qui doivent désormais prendre en considération le paramètre « conformité avec le Règlement européen sur la protection des données ». Bien qu’applicable depuis presque deux ans, le 25 Mai 2018, les différentes affaires récentes en application du règlement ne cessent de nous apprendre un peu plus sur la portée exacte du règlement. Des condamnations pour une collecte inadéquate du consentement préalable des internautes, des sanctions des pratiques de manipulation dans les réglages des paramètres de confidentialité… Vous l’aurez compris, désormais, vous allez devoir y réfléchir à deux fois avant de prendre des mesures impactant le traitement des données personnelles. 

 Le RGPD : quésaco

Bien que le règlement n’ait été applicable que récemment, la protection des données personnelles n’en n’est pas moins un sujet qui suscite l’intérêt du public depuis bien longtemps. D’ailleurs, le règlement de 2018 remplace une directive européenne de 1995. Cet intérêt a pris une autre dimension avec les innovations technologiques prodigieuses de notre millénaire. Avec les GAFA (Google Apple Facebook Amazon), l’exploitation des données personnelles est devenue plus simple, plus nombreuse, a de plus en plus une finalité d’influence et de manipulation, et surtout, se fait de plus en plus à l’insu de l’internaute. On se souvient tous des données sur les 87 millions de profils Facebook qui ont fuité vers l’entreprise Cambridge Analytica. Le “Règlement Général sur la Protection des Données” est un cadre légal de plus mettant en cause la nécessité de protection des libertés individuelles face aux évolutions technologiques. Il a pour objectif de sécuriser les informations personnelles, renforcer les droits des internautes en leur accordant plus de pouvoir sur le contrôle de leurs données personnelles.

 Ce règlement européen s’applique à tout organisme amené à traiter des données personnelles : organismes privés, organismes publiques, entreprises ou associations, aucun organisme n’échappe à ce règlement du moment que son activité implique un traitement de données. Soulignons ici que la notion de traitement de données a été définie de manière très large, impliquant la collecte, l’accès, l’archivage, la destruction et la consultation des données. Même si vous externalisez le traitement de vos données mais que vous soyez amené à consulter les données plus tard, le règlement vous sera applicable. 

Un-petit-rappel-du-RGPD

Intégrer le RGPD dans l’entreprise 

L’entreprise a deux options. Ou bien elle adopte des mesures pour se mettre en conformité avec le RGPD, ou bien elle bloque l’accès de leur site à certaines catégories d’internautes protégées par le règlement pour avoir à se mettre en conformité. Ce qui revient à se priver de tous les internautes du Vieux Continent. En mettant ses différentes pratiques en conformité avec le RGPD, l’entreprise va adopter certaines mesures allant dans le sens d’un renforcement des droits de la personne concernée sur la gestion du consentement. Préalablement à tout traitement, elle doit obtenir le consentement de la personne concernée sur les sorts possibles de ses données personnelles. La demande dans ce sens doit présenter certaines qualités : la simplicité et la clarté. En retour, la réponse de l’internaute doit être explicite : un défaut d’action ne doit jamais être admis à titre d’acceptation. Pendant ce droit au consentement, d’une part l’internaute aura le droit de s’opposer au traitement de ses données, d’autre part il aura le droit de retirer son consentement et par voie de conséquence avoir droit à l’effacement de ses données.

Sur le plan organisationnel, l’adoption du RGPD créera un poste spécifique au sein de l’entreprise : Data Protection Officer (DPO). Le DPO endossera le rôle d’un département juridique mais spécialisé sur le traitement des données personnelles. Il va se mettre à jour des nouvelles obligations, conseiller les responsables.