Le Règlement général sur la protection des données (RGPD) européen est entré en vigueur le 25 mai 2018. Il apporte plusieurs modifications importantes qui changent la manière dont les organisations traitent, gèrent et stockent les données personnelles. Le Royaume-Uni est toujours membre de l’UE, donc les employeurs britanniques doivent gérer l’impact du RGPD, malgré le Brexit.
Qu’est-ce que le RGPD ?
Le RGPD est une refonte majeure des règles européennes de protection des données existantes. Il est conçu pour refléter certaines des grandes tendances observées ces dernières années, comme la mondialisation et l’accélération de la croissance du secteur des technologies numériques. Il a pour but de renforcer et d’harmoniser la protection des données des individus au sein de l’Union Européenne.
Outre les entreprises basées dans l’UE, il s’applique à toutes les entreprises qui traitent les données personnelles de citoyens de l’UE à des fins de fourniture de biens ou de services ou à des fins de veille comportementale.
Implications pour les employeurs
Le RGPD met en œuvre un certain nombre de changements que les employeurs (et plus précisément les départements Ressources Humaines) doivent prendre en compte lors du traitement et de la gestion des données de leurs employés.
Parmi ces changements, on peut citer le concept de « protection des données dès la conception », qui impose aux employeurs d’intégrer les risques liés à la protection des données dans l’élaboration et l’application de leurs politiques, processus, produits et services.
Le RGPD comprend également la notion de « protection des données par défaut », qui stipule que seules les données personnelles requises pour chaque fin spécifique doivent être collectées et traitées.
Autre concept englobé dans le RGPD : le consentement. Des questions ont été soulevées concernant l’idée selon laquelle les employeurs devraient traiter les données personnelles avec le consentement des employés, étant donné le déséquilibre des relations de pouvoir entre employeurs et employés. Depuis l’entrée en vigueur du RGPD, les organisations doivent satisfaire à des exigences plus strictes pour s’assurer que le consentement des intéressés soit « donné librement, de manière informée, spécifique et explicite ».
En ce qui concerne la fourniture d’informations pour les membres du personnel et les candidats à l’embauche, la nouvelle règlementation impose aux employeurs d’adopter une approche beaucoup plus détaillée.
Depuis le 25 mai 2018, les informations que doivent fournir les organisations incluent :
- l’identité et les coordonnées de l’employeur (le responsable de traitement des données) ;
- les coordonnées du délégué à la protection des données, le cas échéant ;
- les destinataires des données ;
- la durée prévue de stockage des données ;
- les droits de l’employé ou du candidat à l’embauche individuel, y compris ses droits d’accès, de rectification et de demande de suppression des données.
Autre élément clé du RGPD : l’obligation pour les entreprises, en cas de violation des données, de transmettre des notifications dans les 72 heures qui suivent la constatation de la violation.
En matière de conformité, les pénalités encourues par les organisations qui ne respectent pas ces nouvelles règles sont beaucoup plus lourdes. Le montant des amendes peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total, selon le montant le plus élevé. Les entreprises doivent donc impérativement être conformes.
Soyez prêts
Un récent rapport publié par l’agence de cybersécurité Kaspersky Lab montre que seulement la moitié (50 %) des entreprises se sentent prêtes pour le RGPD. Selon l’agence, le fait que la moitié des entreprises interrogées ne se sentent pas prêtes à appliquer la nouvelle réglementation est « très préoccupant », quand on sait à quel point cela est important.
Lors d’une table ronde organisée par Kaspersky Lab, Sue Daley, directrice du service Cloud, Data, Analytics & Artificial intelligence chez techUK, a déclaré que les sociétés qui délivrent des formations dans ce domaine doivent trouver des moyens de rendre les choses plus concrètes pour leur personnel. Et d’ajouter : « La première étape consiste à en parler et à s’assurer que les gens comprennent ce que veut dire la réglementation ».
Toujours lors de cette table ronde, Caroline Hinton, directrice RH de la société de production radio Somethin’ Else, a dit que les entreprises doivent voir la conformité au RGPD non pas comme une « case à cocher » mais comme quelque chose qui est spécialement conçu et utile pour certains postes et départements.
Les Chambres de commerce ont décrit certaines des étapes clés que les entreprises doivent mettre en œuvre :
- Documenter les données personnelles détenues par l’entreprise, leur provenance et les entités avec lesquelles ces données sont partagées
- Examiner les avis de confidentialité actuels et planifier les modifications requises avant la date limite d’application
- Examiner les procédures pour garantir le respect des droits individuels décrits dans le RGPD, comme la suppression des données personnelles et la fourniture électronique des données
- Déterminer si l’entreprise a besoin ou non d’un délégué à la protection des données
David Riches, Directeur général des Chambres de commerce britanniques, a encouragé les entreprises à se montrer « proactives » dans leurs démarches de conformité au RGPD, pour éviter de devoir payer des amendes et pour conserver une bonne image auprès du public. Il a également rassuré les entreprises déjà vigilantes en matière de protection des données. Selon lui, « elles ne seront pas trop impactées par la nouvelle législation ».
RGPD : Le guide pour les Petites et Moyennes Entreprises
Les informations dont vous avez besoin pour comprendre et aller de l’avant
Prochaine lecture recommandée
Brexit : quels effets collatéraux pour les entreprises françaises ?
