Un peu d’histoire…
Le commencement :
C’est à partir des années 70 que l’informatique fait son entrée dans les administrations. Le gouvernement français met alors en place le projet SAFARI. Un outil qui permettrait de centraliser toutes les données administratives. L’idée serait de ficher tous les citoyens pour gagner plus de temps.
Cet outil inquiète…Et si nos informations étaient exploitées à notre insu ? Une commission indépendante est rapidement mise en place pour contrôler ces risques. Par la suite, la CNIL est créée pour assurer la liberté et la protection des individus dans le monde informatique.
Depuis 1995, les Etats membres de l’Union Européenne ont instauré une politique de protection des données. Il est vrai que les utilisateurs d’Internet n’ont pas conscience de leur richesse. Pendant longtemps, leurs données, même les plus sensibles, sont récoltées à tout va afin d’optimiser le marketing. Celles-ci tombent également entre les mains des autorités sans que personne ne le sache.
De nos jours :
C’est alors qu’en 2013, un tremblement de terre frappe le monde informatique. Il se nomme Edward Snowden. Cet ancien informaticien de la CIA prouve que les services secrets des Etats Unis collectent les données personnelles des citoyens du monde entier. Quel choc !
Après cette découverte, l’Union Européenne décide de réagir. C’est dans ce contexte que le RGPD prend naissance en 2016. Il est maintenant applicable depuis le 25 mai 2018.
En quoi consiste le RGPD ?
Une question de données personnelles…
Le RGPD ouvre aux personnes le droit d’être maîtres de leurs données personnelles afin de maîtriser l’impact de leur collecte sur leur vie privée. Il encadre le traitement de ces données sur le territoire de l’Union européenne. Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens des données les concernant.
L’objectif du RGPD est de protéger les données personnelles de tous les citoyens Européens et leur affecter plus de droits. Ce qui est sûr, c’est que le règlement veut créer une République informatique. De ce fait, les réglementations du RGPD s’harmonisent dans toute la zone UE.
A qui s’adresse t-il ?
Le RGPD concerne tous types d’organismes (publiques ou privés, marchands ou non marchands) dans l’Union (ou hors Union) qui exploiteraient des données sur un résident européen. Pour donner quelques exemples, le RGPD concerne aussi bien une entreprise, qu’une association, une école, un hôpital ou une institution gouvernementale.
Quelles sont les règles du RGPD :
Plus de droits pour les citoyens
Les règlementations du RGPD s’appliquent à toutes données à caractère personnel. Autrement dit, toute information permettant d’identifier (directement ou indirectement) une personne physique. Tous les organismes doivent respecter les droits suivants :
> l’accès : oblige à informer les personnes de l’usage fait de leurs données et de la durée de leur conservation. Ces personnes donnent leur consentement ou non, choisissent les paramétrages, etc…
> la rectification : offre aux individus la possibilité de rectifier les informations inexactes.
> l’information : les individus accèdent à une information claire sur l’utilisation de leurs données.
> l’opposition : permet de s’opposer à tout moment à la collecte des données.
> le déréférencement : permet de ne plus associer l’identité à un contenu visible sur les recherches.
> l’effacement : permet aux individus d’effacer leurs données.
Des organismes plus responsables
En somme, les organismes sont tenus de mettre en place un parcours efficace pour le traitement de ces droits de manière claire et simple.
Du rappel à l’ordre à l’amende, le risque de sanctions en cas de non respect du RGPD est élevé. Ces amendes dépendent du chiffre d’affaire et sont proportionnelles au préjudice (surtout pour les données sensibles).
Quel impact sur les entreprises ?
L’effet vague de panique
L’arrivée de cette loi a été telle une secousse pour les entreprises. Empressées de se mettre en conformité, nombreuses y ont investi massivement. En effet, hormis la technique, cette standardisation demande d’améliorer l’ensemble des processus.
Dans les organisations, les données sont traitées tous les jours : salariés, prospects, clients… Il a donc fallu prendre des mesures techniques et organisationnelles en regroupant toutes les compétences informatiques et juridiques autour de ce sujet.
De nombreux investissements
Le RGPD a également eut un coût. En effet, beaucoup d’entreprises ont investi dans des promesses de certificats, labels sans valeur, ou sont passées par un prestataire pour leur mise en conformité.
D’un point de vue juridique, il a également fallut procéder à la modification des contrats.
Pour terminer, au sein de l’organisation interne, il a fallut désigner la (les) personne(s) en charge du suivi de la conformité (on parle alors de Délégué à la Protection des Données). Cela a donc demandé d’investir du temps dans la formation et la sensibilisation du personnel.
Des avantages uniquement pour les individus ?
Même si le RGPD a diminué considérablement la liberté commerciale, il n’est pour autant pas destiné à ralentir le développement économique. D’ailleurs, il présente plusieurs avantages pour les organismes.
Tout d’abord, si le RGPD vient en protection des individus, il sécurise donc les données des salariés. Ensuite, il permet de renforcer la sécurité des données de l’organisme et de travailler avec des sous-traitants plus responsabilisés.
D’autre part, le RGPD peut être utilisé comme un excellent argument commercial qui pourra rassurer les clients et leur inspirer confiance.
Enfin, on assiste a un rééquilibrage de la concurrence. Jusque là, les plus grandes entreprises avaient des moyens massifs de collecte des données et pouvaient ensuite adopter de meilleures stratégies compétitives. Dorénavant, les entreprises placées dans l’Union (même si leur siège social ne l’est pas) sont contraintes à respecter les mêmes lois. Vive l’égalité !
Quelles sont les limites du RGPD ?
L’extraterritorialité
La principale barrière du RGPD est celle de l’extraterritorialité. Prenons l’exemple du Cloud Act. Cette loi nord américaine oblige les entreprises à fournir aux services de renseignements toutes les données sur leurs serveurs, y compris si ceux-ci sont localisés dans l’UE. Une loi qui vient s’opposer fondamentalement au RGPD. Dans tout les cas, même si il existe des lois similaires au RGPD dans le monde, tous les pays ne sont pas compatibles avec ce règlement.
Il reste encore beaucoup à faire au niveau international. De ce fait, le transfert des données en dehors de l’Union Européenne est strictement réglementé.
Une initiative ralentie ?
A l’heure actuelle, le RGPD n’est pas une loi toute puissante. Aussi, les entreprises américaines sont légalement dans la possibilité de fournir des données même sans l’accord du principal intéressé. Et ça sans que le RGPD n’y change rien.
Le RGPD n’étant pas une directive internationale, certains s’inquiètent du fait qu’il présente aussi le risque de limiter l’activité des entreprises européennes par rapport aux autres dans le monde.
Quel bilan 1 an après son application ?
Pour les organismes…
Au moment de son entrée en vigueur, le RGPD a effaré les organisations. Effectivement, il demande encore plus de contrôle, de précautions et disons le clairement moins de libertés commerciales.
Malgré la compréhension et les politiques d’accompagnement, aucune tolérance ne sera admise. La Commission Nationale de L’informatique et des Libertés (CNIL) a déjà sanctionné des entreprises et associations. Pour le moment, les amendes prononcées vont jusqu’à 250 000 euros pour une grande entreprise française et 50 millions d’euros en janvier dernier pour le géant américain Google. Et ce n’est pas fini ! Cette semaine, une nouvelle enquête a été ouverte contre Google suite à plusieurs plaintes concernant le traitement des données personnelles dans le cadre de son marché en ligne pour les espaces publicitaires.
Toutefois, on remarque aussi une augmentation de la médiatisation des sanctions ou plaintes. Cette médiatisation représente un véritable un coup dur pour les entreprises concernées. En effet, cela ternit leur image et pourrait avoir de lourdes retombées économiques sur celles-ci.
Pour les individus…
A l’heure où des géants comme Facebook ou Whatsapp sont piratés à causes de failles dans leur systèmes, les individus sont de plus en plus inquiets en ce qui concerne leurs données. C’est donc tout naturellement qu’ils se sentent plus rassurés d’avoir le RGPD de leur côté.
De ce fait, le nombre de plaintes pour violation de données a explosé.
Pour autant, l’effort de sensibilisation doit s’accentuer car beaucoup de citoyens européens n’ont pas forcément conscience de tous leurs droits. Ce constat est encore plus valable pour les expatriés.
RGPD : les bonnes pratiques
Hormis l’aspect juridique et technique, être en conformité avec le RGPD repose sur de simples bonnes pratiques. Elles sont rapides à mettre en place et réduisent considérablement les risques. La team maestroPROJET vous propose donc quelques exemples :
– réduisez le partage des informations en définissant bien les personnes qui accèdent aux données,
– minimisez la collecte : ne récoltez que les données nécessaires, les moins intrusives possibles,
– utilisez des outils technologiques qui protègent vos données et celles de vos clients,
– sécurisez vos sites WEB,
– assurez-vous de la conformité de vos sous-traitants et partenaires,
– sensibilisez les employés et collaborateurs externes.
Conclusion
Un an après sa mise en vigueur, le RGPD reste un sujet sensible pour les entreprises et les marketeurs. Il subsiste toujours des doutes et des méconnaissances. Pour autant, de plus en plus d’entreprises se mettent à jour et les plus grandes donnent le pas. Par ailleurs, les premières sanctions étant tombées, on comprend qu’aucune entrave ne sera possible.
Les utilisateurs de maestroPROJET s’assurent un travail sécurisé et en toute discrétion. La solution est entièrement conforme au RGPD. Le personnel de maestroPROJET est régulièrement sensibilisé et formé à la protection des données. De plus, nos serveurs sont localisés en France pour la souveraineté de vos données. Pour plus d’informations, nous vous invitons donc à consulter notre politique de confidentialité.
