Depuis quelques mois, le web ne parle que de ça. Il va bouleverser beaucoup d’organisations travaillant dans ce secteur, ainsi que celles qui utilisent le web régulièrement, c’est-à-dire une part très importante. Mêmes les plus grandes institutions tels que Facebook et Google doivent y faire face. Mais de quoi s’agit-il ? Du règlement général sur la protection des données, autrement appelé le RGPD.

Qu’est-ce que le RGPD ?

Le RGPD, qui signifie Règlement Général sur la Protection des Données, est une nouvelle loi européenne concernant la récolte, l’utilisation et la finalité des données sur le web.

Cette loi est entrée en application le 25 mai 2018. Si vous n’avez pas besoin d’être à 100% en adéquation avec ce règlement le jour de sa mise en application, voici tout de même les réponses à vos questions concernant sa mise en place, son but et son fonctionnement.

Qu’est-ce qu’une donnée personnelle ?

Tout d’abord, il faut savoir qu’il existe deux types de données personnelles :

  • simple : toute information concernant un internaute, aussi bien directement qu’indirectement. Exemples : nom, prénom, adresse physique et/ou e-mail, numéro de téléphone, carte de crédit, photo, vidéo, etc…
  • sensible : ces données sont plus difficilement communiquées par un internaute, et ce sont celles avec lesquelles il faut prendre le plus de précaution. Il s’agit de tout ce qui pourrait discriminer une personne vis-à-vis d’une autre. Exemples : couleur de peau, croyance religieuse, orientation sexuelle, santé, orientation politique, etc…

Qu’est-ce que “traiter des données” signifie ?

Que vous soyez un pure player, une entreprise faisant du commerce sur Internet ou simplement présents sur le web avec un site vitrine, et que vous en soyez conscient ou non, vous traitez certainement des données. Car “traiter des données” ne signifie pas, aux yeux du RGPD, utiliser des données pour faire ou vendre de la publicité. Vous traitez des données en les :

  • collectant
  • stockant
  • modifiant
  • structurant
  • partageant
  • utilisant
  • supprimant

Si vous collectez, stockez ou utilisez des données à caractère personnel, dans ce cas, vous êtes considéré comme « responsables de traitements ».
Si vous traitez des données à caractère personnel pour le compte d’autres entreprises, vous êtes considéré comme « sous-traitantes ». Vous l’aurez compris, peu de chance d’y échapper.

A noter cependant que des exceptions existent. Exemples : l’utilisation de données personnelles sans consentement est possible, dans le cas où ces infos ont été manifestement rendues publiques. Autre exception : l’utilisation des données en BtoB, qui n’entre pas dans le cadre du RGPD. Cependant, il faudra toujours communiquer sur les conditions de traitement des données, respecter le droit d’opposition (lien de désinscription notamment) et s’assurer que la sollicitation soit en rapport avec la profession de la personne démarchée.

Ce que ça change : droit d’information

Si vos données sont piratées, volées ou partagées, les internautes recensés dans votre base de données doivent en être informés dans les 72 heures suivantes. C’est une obligation légale dont vous devez tenir compte.

Ce que ça change : droit d’accès

Si un utilisateur vous le demande, il est en droit d’avoir accès aux informations suivantes :

  • si ses données personnelles sont utilisées
  • comment y accéder
  • comment les modifier ou supprimer
  • la finalité de l’utilisation de ses données personnelles
  • à qui elles sont partagées
  • depuis combien de temps ses données sont stockées

Ce que ça change : droit de modification et de suppression: le droit à l’oubli

Tout internaute ayant des données personnelles dans votre base de données et en ayant connaissance peut demander à les faire modifier ou supprimer. Il est obligatoire aux yeux de la loi de suivre les demandes d’internautes souhaitant modifier ou supprimer ses données. De lourdes sanctions, dont nous parlerons plus tard, peuvent être appliquées.

Que risque-t-on en cas de non-respect du RGPD ?

 

Il y a deux catégories de réprimandes possibles en cas de non-respect du RGPD : financières et non-financières. Pour la première, voici les deux paliers :

  • Amendes pouvant atteindre 10,000,000€ ou 2% du chiffre d’affaire annuel
  • Amendes pouvant atteindre 20,000,000€ ou 4% du chiffre d’affaire annuel

D’autres sanctions peuvent être prises avant ou en plus de ces peines financières :

  • avertir et réprimander une entreprise pour la mettre en garde d’une possible sanction plus forte
  • bannir temporairement ou définitivement le traitement de données par l’entreprise (pouvant être très handicapant suivant le secteur d’activité)
  • imposer une rectification, restriction ou suppression de la base de données actuelle
  • suspendre le transfert de données vers des parties tierces, souvent publicitaires

Le RGPD insiste sur le fait que tout utilisateur ayant subi des dommages matériels et immatériels a le droit de recevoir une compensation de la part de l’entité traitant ses données.

Finalement la RGPD, contrainte ou opportunité ?

Vous l’aurez compris que cela vous touche de près ou loin, le RGDP n’est rien d’autre qu’un passage en “obligations” des recommandations que nous avions jusqu’à présent via la CNIL.
Autant de règles qui vont désormais faire partie de notre quotidien et qu’il faudra prendre en compte lors de nos actions les plus simples.
Alors bien sûr, de prime abord, on pense surtout aux différentes contraintes que cela engendrera. Mais à contrario, on oublie trop souvent les opportunités possibles (cleaning des BDD / améliorations des KPIs / relance commerciales, etc…). Pour cela, pas de panique, Zee Media est là pour vous accompagner dans cette étape. N’hésitez donc pas à nous consulter pour toute demande concernant cette nouvelle loi européenne.