RGPD 2018 : 11 questions clés pour les entreprises

Le compte à rebours s’accélère. Mais tout le monde n’est pas encore dans les starting-blocks. Selon une récente étude d’IDC France, 28 % des structures interrogées estiment qu’elles seront prêtes tandis que 27 % reconnaissent qu’elles ne le seront pas ! Pour rendre plus abordable ce texte d’environ 100 pages, voici 11 questions principales relatives au Règlement général sur la protection des données (RGPD).

1. Le RGPD s’applique-t-il à mon entreprise ?

Il s’applique à toutes les entreprises et administrations. Peu importe leur pays d’origine : dès qu’elles collectent ou traitent des données de citoyens européens, elles doivent respecter le RGPD. Elles devront toutes démontrer qu’elles n’utilisent que les données personnelles « strictement nécessaires » à leur activité.

2. Quelle est la date d’entrée en application du RGPD ?

Validé en avril 2016, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai 2018. Il s’appliquera de la même manière dans les 28 États membres.

3. Qu’est-ce qu’une donnée personnelle ?

Il s’agit de toute information permettant d’identifier une personne physique. Il s’agit bien sûr du nom, de sa date de naissance, de son numéro de Sécurité sociale, de son adresse IP, mais également de son email.

4. Les solutions Sage sont-elles prêtes pour le RGPD ?

Sage met tout en oeuvre pour que ses produits maintenus soient « RGPD Ready », c’est-à-dire qu’ils soient prêts pour l’entrée en application du RGPD. Sage recommande aux utilisateurs de vérifier qu’ils utilisent les dernières versions de ses logiciels. Les solutions Sage dans le Cloud, quant à elles, bénéficieront toujours des versions actualisées, les aidant au mieux à respecter leurs obligations en matière de protection des données.

5. Quelles sont les sanctions encourues ?

Le RGPD prévoit des amendes par paliers selon les fautes commises : mauvaise tenue des enregistrements, défaut de notification sous 72 heures de l’autorité de surveillance (la CNIL en France), absence d’évaluations d’impact… Ce texte précise que cette sanction peut atteindre jusqu’à 4 % du chiffre d’affaires mondial annuel contre au maximum 150 000 € (cf. Art. 47 de la Loi de 1978). Cependant, juges tiendront compte en effet des moyens et compétences des entreprises, concernant les TPE-PME.

6. En quoi le RGPD est-il différent de la Loi de 1978 ?

Il renforce et généralise la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés en vigueur en France. Il y a deux nouveautés. Premièrement, le RGPD généralise l’obligation de notification sous 72 h. Jusqu’à présent, seules les entreprises « sensibles » comme les opérateurs de télécommunications devaient le faire sous 48 h. Deuxièmement, le RGPD impose aux entreprises de réfléchir à la protection des données personnelles en amont de la conception d’un produit ou d’un service. En clair, dès que vous lancez un projet, vous devez prévoir la sécurité des données. Enfin, vous devrez demander aux internautes leur consentement explicite (et en conserver la preuve) avant de leur adresser des mailings.

7. Combien coûte la conformité au RGPD dans mon entreprise ?

Tout dépend de la taille de votre entreprise. Mais différentes mesures (entraînant des coûts) seront indispensables : audit de conformité avec le RGPD, mise en place de solutions afin de protéger ces données, sensibilisation des salariés grâce à des formations…

8. Mon entreprise doit-elle recruter un DPO ?

Le Délégué à la protection des données en français (ou Data Protection Officer) est obligatoire pour les autorités publiques et certains organismes dont les activités de base les amènent à réaliser un « suivi régulier et systématique des personnes à grande échelle », ou à traiter des données relatives à des « secteurs sensibles » tels que la santé, la religion, les opinions politiques ou l’appartenance syndicale, ou « des données en lien avec les infractions et les condamnations pénales ». Cependant, même quand ces critères ne sont pas remplis, il est conseillé de désigner un DPO.

9. Quelles sont les missions d’un DPO ?

Successeur du correspondant Informatique & Libertés (CIL) en mai prochain, il aura des pouvoirs élargis. En tant que responsable de traitement des données personnelles, il devra mettre en place les procédures adéquates afin d’empêcher notamment qu’elles soient déformées ou exploitées par des personnes non autorisées. Le DPO devra aussi vérifier que ces mesures sont bien appliquées par tous les services.

10. Mes sous-traitants sont-ils concernés par le RGPD ?

Oui. Si vous confiez vos données à un prestataire informatique ou un fournisseur dans le Cloud, vous devez vous assurer qu’il respecte bien les exigences du RGPD. Ce texte précise en effet que « dans le cadre d’un traitement réalisé par un sous-traitant », vous ne devez faire appel qu’à des entreprises présentant des « garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources ». Dans l’idéal, faire appel à un avocat pour vérifier les contrats de vos sous-traitants vous assurera de ne rencontrer aucune mauvaise surprise.

11. Les données que mon entreprise transfère en dehors de l’UE sont-elles concernées par le RGPD ?

Le RGPD n’interdit pas les transferts vers des centres de données (ou data centers) situés en dehors de l’UE. Le RGPD vise toutes les entreprises, dans l’UE ou hors UE, qui traitent des données d’individus européens. Si une entreprise hors UE traite des données de citoyens européens, elle devra s’assurer que le niveau de protection mis en place est suffisant par rapport aux exigences du RGPD. Si une entreprise hors UE ne respecte pas la réglementation européenne, elle pourrait se voir interdire toute transaction dans l’UE, jusqu’à ce qu’elle se conforme aux règles.