Comme son nom l'indique, ce nouveau règlement concerne toutes les entreprises qui touchent les données personnelles de ses utilisateurs. En allant du e-commerce aux blogs, en passant par les réseaux sociaux. Tous doivent se mettre à jour sur cette réforme, sous la garde de la CNIL. C'est notamment pour cette raison que tout utilisateur a pu se voir demander sur ses sites habituels une nouvelle confirmation d'acceptation des conditions générales d'utilisation.
- Mais que vise le RGPD ?
- Une mise en conformité au profit des utilisateurs
- Une mise en conformité laborieuse pour les entreprises
- Ce qu'il faut en retenir ?
Mais que vise le RGPD ?
Dès qu'une donnée liée à une personne physique est concernée, le RGPD visera à s'appliquer. Tant les utilisateurs que les destinataires de ces informations sont concernés. Gare à celui qui ne s'y conformerait pas : une lourde amende pèse sur lui comme une épée de Damoclès.
La nouveauté du RGPD à son arrivée était donc une définition plus large de la notion de données personnelles, le renforcement pour l'utilisateur de donner son accord sur l'utilisation de ses données, l'obligation de transparence des entreprises sur l'usage fait et la suppression des données réunies. Il s'agit aussi pour ces entreprises d'instaurer une prévention sur la protection des données et la dénonciation de toute fuite qui aurait eu lieu.
Une mise en conformité au profit des utilisateurs
Maintenant finies les inscriptions automatiques à un service que l'utilisateur n'aurait pas voulu ou connu, les cases pré-cochées lors de l'inscription sur un site, plus de prospection inattendue... Tout doit être entre les mains de l'utilisateur qui doit agir pour adhérer à de tels services. Sans son consentement, il ne devrait pas être concerné. Il s'agit de l'opt-in. Les pratiques allant à l'encontre de ce principe d'action de l'utilisateur sont interdites.
Mais ne sont pas comptés parmi ces utilisateurs les professionnels et les personnes déjà clientes.
En ce qui concerne particulièrement le profilage, le traitement automatisé des données ne peut plus se faire à l'insu des utilisateurs. Les entreprises doivent être transparentes et donner la faculté de refuser une telle pratique à l'encontre de ces utilisateurs.
En résumé pour les utilisateurs, le RGPD visait à ce qu'une plus grande transparence leur profite concernant les données personnelles qui sont l'objet d'un vaste marché pour l'activité des entreprises. À cet égard, les utilisateurs voient leur consentement priorisé.
Une mise en conformité laborieuse pour les entreprises
Il est indéniable que les entreprises se sont vu attribuer de nombreuses nouvelles obligations en matière de données personnelles. Ce qui a eu un certain coût pour elles.
Leur résistance peut leur coûter cher. Les amendes sont lourdes : de 2 à 4 % du chiffre d'affaires global, voire pour les plus tenaces un montant pouvant aller jusqu'à 20 millions d'euros. Il en ressort clairement que la mise en conformité n'a pas été prise à la légère. Pas plus aujourd'hui alors que de nombreuses entreprises sont encore dans le processus. La CNIL a mis à leur attention un guide en 6 étapes pour cette mise en conformité.
En miroir aux droits renforcés des utilisateurs, les entreprises doivent assurer le respect de ces droits. Cependant, cela ne se limite pas à la transparence et au consentement de l'utilisateur.
Toute entreprise, quelle que soit sa nature, si elle a une activité commerciale en Europe, doit répondre du RGPD. Elle doit nommer spécifiquement un délégué à la protection des données chargé de contrôler cette mise en conformité, notamment. L'entreprise doit également mettre en place une analyse d'impact relative à la protection des données, par exemple.
Le sujet est vaste, mais il y a une véritable responsabilisation des entreprises traitant des données personnelles.
De plus, les enjeux visés par le RGPD sont notamment la sécurité que doivent garantir les entreprises. Encore qu'il y aurait une violation du système et des données personnelles, elles seront chargées d'en informer les concernés.
En somme, cela coûte cher tant pour une PME, qu'une entreprise de l'envergure du CAC 40. À l'entrée en vigueur de cette réglementation, les entreprises « n'étaient pas toutes prêtes » (Etude NetApp). Alors aujourd'hui la CNIL aide les entreprises dans ce processus, notamment par la mise à disposition de moyens pour les guider dans un dossier complet sur son site.
Bien que cela puisse être parfois insuffisant en raison des ressources nécessaires pour s'aligner au RGPD, comme en témoignent les nombreuses entreprises qui, sans être réfractaires, peuvent avoir du mal à intégrer la nouvelle réglementation.
Ce qu'il faut en retenir ?
Il n'y a plus d'ombre pour le sort des données personnelles. L'utilisateur devient acteur du sort des données qu'il communique en pratiquant un choix. La transparence et la sécurité sont à la charge des entreprises dont le business est alimenté, au moins pour partie, par les données qu'il utilise. Cela a un coût et le processus semble loin d'être terminé pour que tous soient en conformité.
