Expert RGPD - France, Réunion et Antilles

Contexte:
Le Règlement Général sur la Protection des Données (RGPD ou GDPR, pour General data protection regulation en anglais) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces éléments sur lesquels les entreprises s’appuient pour proposer des services et des produits. Ce texte couvre l’ensemble des résidents de l’Union européenne.

Avant le RGPD — dont le nom plus solennel est le règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données — existait une directive sur la protection des données personnelles qui date de 1995. Ce texte est abrogé par le RGPD.

Objectifs:

• Protéger la vie privée des citoyens européens
• Unifier les lois relatives à la protection des données au sein de l’UE
• Redéfinir les méthodes de traitement et de gestion des données personnelles par les entreprises dans tous les pays du monde.

Le RGPD a vocation à s’appliquer à tout traitement de donnée à caractère personnel, automatisé ou non. Sont considérés comme des “traitements” toute collecte, conservation, modification, extraction, consultation, utilisation, communication, destruction, etc. de ces données à caractère personnel (identité, adresse mail, adresse IP, numéro de téléphone, données de localisation, habitudes de consommation, etc.).

Le règlement concerne non seulement toute entreprise européenne, mais aussi toute entreprise située en dehors de ce territoire mais traitant des données à caractère personnel de citoyens européens.

Conformément au RGPD, tout client situé sur le territoire de l’Union européenne : 

• Doit être informé de la collecte et des finalités d’utilisation de ses données ;
• Doit pouvoir, lorsque cela est nécessaire, donner et retirer son consentement quant à la collecte et au traitement de ses données à caractère personnel ;
• Doit y avoir accès et pouvoir obtenir leur portabilité ainsi que, dans certains cas, s’opposer à leur traitement et obtenir leur effacement

Une donnée personnelle (ou donnée à caractère personnel) est une information qui concerne une personne physique, identifiée directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.

Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés :

Une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la CNIL et dont l’intérêt public est avéré.

Les organisations ont tout intérêt à respecter à la lettre le RGPD car les plafonds des sanctions sont particulièrement élevés : en cas d’infraction, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues pour l’organisme fautif, sachant que c’est le montant le plus élevé qui est retenu entre les deux cas de figure.

Il faut imaginer ce que cela peut représenter pour des géants du net si une procédure est lancée contre eux. L’amende pourrait atteindre des dizaines ou des centaines de millions de dollars, voire davantage. Il convient aussi de noter qu’une société doit veiller à ce que son sous-traitant reste bien dans les clous de la loi, sous peine d'en subir les conséquences, du fait de sa qualité de responsable du traitement.

Cela  étant, les multinationales ne sont pas nécessairement les plus exposées : si ce sont elles qui risquent les amendes les plus fortes, elles ont des détachements de juristes et d’experts qui travaillent déjà à plein temps depuis des mois pour être absolument dans les clous du RGPD. Le risque est en revanche plus grand pour les entités plus petites, comme une TPE, une PME ou une association.