Le désormais bien connu « Règlement sur la protection des données personnelles », ou, plus communément, le « RGPD », est entré en vigueur le 25 mai 2018. Ce règlement s’applique à l’ensemble des acteurs résidant sur le territoire de l’Union européenne effectuant le traitement de données personnelles dans le cadre de son activité.
Son entrée en vigueur a conduit les entreprises françaises et européennes à des évolutions majeures afin de se conformer au règlement et d’éviter une sanction pécuniaire pouvant atteindre jusqu’à 4% du CA HT mondial.
La rentrée 2020 est l’occasion pour TechniUp de faire le point sur le RGPD, quasiment 2 ans après son entrée en vigueur, et de rappeler notre attachement quant au respect de celui-ci dans le cadre de notre activité de conseil auprès des entreprises.
Genèse du RGPD
Comme évoqué précédemment, le RGPD s’applique au traitement des données personnelles réalisé sur le territoire de l’Union européenne. Il concerne donc l’ensemble des Etats membres de l’Union européenne. Avant son entrée en vigueur, chaque Etat membre était libre de choisir la législation applicable quant au traitement de ses données. En France, la création de la CNIL en 1978 faisait suite à l’affaire « S.A.F.A.R.I. »[1].
Bien que novateur, le RGPD s’inscrit dans la continuité de la loi « Informatique et libertés » de 1978. Il vise à protéger l’ensemble des données personnelles ; c’est-à-dire toute information se rapportant à une personne physique identifiée ou identifiable. Il s’applique ainsi à l’ensemble des entreprises (TPE, PME, ETI, GE) qui ont vu leurs obligations renforcées.
Les sanctions pécuniaires sont lourdes en cas d’infractions au RGPD puisqu’elles peuvent atteindre jusqu’à 4% du CA HT mondial. Les entreprises redoutent également le pouvoir de contrôle de la CNIL. Celle-ci peut réaliser un contrôle sur place ou en ligne pouvant donner lieu à des sanctions et/ou mises en demeure préalables.
Pour rappel, l’article 5 du RGPD expose les principes directeurs à l’occasion du traitement de données personnelles
Les données personnelles doivent être traitées de manière :
- Licite, loyale et transparente
- Collectées pour des fins déterminées, explicites, légitimes
- Adéquates, pertinentes et limitées à ce qui est nécessaire
- Exactes, et si nécessaire, tenues à jour
- Conservées (…) pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées
- Traitées de façon à garantir une sécurité appropriée des données à caractère personnel »
Instauration réussie du RGPD
D’après le rapport publié par la CNIL[2], l’année 2018 représente une « année exceptionnelle » à la suite de l’entrée en vigueur du RGPD. Cette année a été marquée par une augmentation des plaintes en raison d’une violation des règles relatives à la protection des données personnelles (+32,5% de plaintes en 2018 par rapport à 2017).
Parmi les sanctions notables, on peut citer :
- La condamnation de Google par la CNIL à une amende de 50 millions d’euros en raison du non-respect du consentement des utilisateurs quant à la communication de leurs données personnelles et d’un manque de transparence quant à leur traitement,
- Ou bien la condamnation de l’entreprise Uber à une amende de 400.000€ en raison d’une atteinte à la sécurité des données personnelles des utilisateurs de la plateforme.
La CNIL constitue désormais un acteur incontournable aidant les professionnels et les particuliers dans leur démarche de mise en conformité avec le RGPD. Le site internet de la CNIL regorge d’outils aiguillant les entreprises dans cette démarche (fiches thématiques, étapes à suivre, etc.).
Si 2018 a été une période de transition pour les entreprises, 2019 a été axée sur la responsabilisation des acteurs afin qu’ils s’approprient le RGPD et appliquent d’eux-mêmes les règles inhérentes à celui-ci.
Perspectives 2020
Les entreprises françaises sont aujourd’hui sensibles quant à la question de la protection des données personnelles. De nombreux efforts ont été fournis par celles-ci pour se mettre en conformité avec le RGPD. En témoigne l’apparition des « Délégués à la Protection des Données Personnelles » (DPO) au sein des entreprises. Pour autant, 2 ans après son entrée en vigueur, toutes les questions ne sont pas résolues (difficultés quant à la mise en œuvre du règlement, modalités de sécurisation des données, etc).
De plus, en raison de la valeur marchande croissante des données personnelles une question se pose quant à la possibilité de commercialiser ces données. Cette idée est notamment défendue par le think tank « Génération Libre » qui plaide pour une évolution de la législation afin de conférer un droit de propriété sur les données personnelles des utilisateurs. Le think tank imagine un système de prix où des utilisateurs vendraient leurs données au site web souhaitant les collecter.
Enfin, Outre-Atlantique, un projet de loi intitulé « The DASHBOARD Act » a été présenté au Sénat américain le 24 juin 2019. Tous les 90 jours, les GAFA (Google, Apple, Facebook, Amazon) auraient l’obligation de communiquer un rapport à chaque utilisateur détaillant le nombre de données personnelles collectées avec une estimation de leur valeur financière. Une question demeure : comment évaluer la valeur monétaire d’une donnée personnelle ?
Et TechniUp ?
TechniUp s’est engagé dans un processus volontaire de mise en conformité au RGPD.
Pour cela, TechniUp a un DPO (externalisé), et la structure a été déclarée à la CNIL sous le numéro DPO-57465 (déclaration qui peut être retrouvée à cette adresse).
Cette démarche a donné lieu à un audit du système informatique et à un renforcement de la sécurité du système, afin de garantir la sécurité des données.
Nous avons également sensibilisé tous nos partenaires (collaborateurs et sous-traitants) et les avons engagé dans la démarche (modification des contrats).
C’est dire l’importance que nous accordons à la protection des données personnelles.
Sources :
[1] L’acronyme S.A.F.A.R.I signifie « Système Automatisé pour le Fichier Administratif et le Répertoire des Individus ».
Ce projet initié par le Ministère de l’Intérieur en 1973 consistait à croiser les fichiers de l’administration française afin de regrouper un ensemble d’informations sur les administrés français
Complément d’information sur duo.com (en anglais)
