RGPD, nous sommes tous concernés !

Les réseaux sociaux et les mailings débordent d’articles plus ou moins alarmistes sur le sujet. Certains pensent que cela ne vise que les grands groupes et pourtant nous sommes tous (Astre, les Astriens et nos sous-traitants) concernés.

Le RGPD est le nouveau texte de référence européen en matière de protection des données à caractère personnel : RGPD (acronyme français de Règlement Général de Protection des Données) ou GDPR (son équivalent anglais, General Data Protection Regulation).

Le RGPD remplace l’actuelle directive sur la protection des données personnelles adoptée en 1995. Il aura fallu 4 ans de négociations, 99 articles et 4 000 amendements pour aboutir à un texte unique adopté par le Parlement européen en avril 2016.

Le RGPD n’est pas une directive mais un règlement. Ce qui veut dire qu’il n’y a pas de transposition nationale et que le nouveau règlement est d’effet direct dans chaque loi nationale. Il sera donc directement applicable dans tous les pays d’Europe, dès son entrée en vigueur le 25 mai 2018.

Le RGPD concerne toutes les entreprises de toute taille et de tous secteurs, dans toute l’Europe (voire même hors Europe pour peu qu’elles traitent de données personnelles de citoyens européens).

L’objectif du règlement est d’obliger chaque organisation à développer une politique de protection des données à caractère personnel (intégrant les contraintes de sécurité, de gouvernance ou les nouveaux droits des citoyens européens notamment).

Les entreprises qui gèrent, via leurs traitements, des données à caractère personnel (pour leur compte ou pour le compte de leurs clients), devront intégrer le principe de responsabilité, c’est-à-dire apporter la preuve que toutes les mesures techniques et organisationnelles ont été mises en œuvre pour protéger leurs données. Elles peuvent embaucher un Délégué à la Protection des données en interne, mais aussi faire appel à un DPO Externe

Le RGPD adresse donc la problématique des données à caractère personnel. Cela couvre donc toute information concernant une personne physique, des éléments les plus communs (identité, photo, email…), aux données les plus sensibles (origine raciale, opinions politiques, convictions religieuses, données biométriques) ; en passant par des éléments comportementaux et permettant d’identifier de manière indirecte une personne (adresse IP, identifiant et mot de passe, habitudes de navigation…).

Le RGPD apporte des changements fondamentaux au traitement des données personnelles. Ce qui implique pour les entreprises d’adapter leurs processus opérationnels et informatiques (notamment en matière de sécurité, de transparence, de responsabilité et de notification de fuites de données) et éventuellement de revoir leur encadrement juridique (contrat, clause de respect de la vie privée, disclaimer sur site web, etc.).

Se mettre en conformité sera un travail de fond et de longue haleine. Cela passera inévitablement par une phase d’inventaire (données et traitements) et de plan d’actions.