25 mai 2021 : l’anniversaire RGPD à ne pas manquer

18 janvier 2021

Le nouveau règlement concernant la protection des données est entré en vigueur le 25 mai 2018. Il approche de ses 3 ans dans un climat très particulier. Quelles conclusions sont à tirer de ce règlement, qui reste aujourd’hui encore, une « tâche » non aboutie dans de nombreuses entreprises ?

Le RGPD, qu’est-ce que c’est ?

RGPD est l'acronyme de « Règlement Général sur la Protection des Données » (en anglais : « GDPR » pour « General Data Protection Regulation »). Il a pour but de régir le traitement des données personnelles au sein de l'Union européenne. En effet, le juridique s'est adapté au développement de nos sociétés et de leurs technologies, notamment depuis l’utilisation accrue du numérique, du commerce en ligne, etc.

Cette nouvelle réglementation européenne, conforme à la loi Informatique et Libertés de 1978, renforce le contrôle des citoyens sur l'utilisation des données qui peuvent y être liées. Le RGPD harmonise les règles européennes en donnant un cadre juridique unique aux professionnels. Cette règlementation espère ainsi contribuer à mener ses activités numériques dans l'Union européenne sur la base de la confiance des utilisateurs¹.

Dans un souci de simplification du travail des entreprises concernant leur processus de mise en conformité, la CNIL ne mettra pas en place d’analyses d’impact immédiates. Le délai de mise en conformité a été accordé à 3 ans. Les entreprises auront donc jusqu’au 25 mai 2021 pour mettre en place des études d’impact et des mises en conformité au RGPD.

L’origine du texte RGPD

Adopté officiellement le 14 avril 2016 par le Parlement européen, et appliqué en avril 2018, il a remplacé le texte de référence de 1995 sur la protection des données personnelles. Cette directive avait été utilisée en France pour fonder la loi Informatique et libertés. Aujourd’hui, la dernière version de ce texte RGPD est disponible sur le site de la CNIL² ou de l’Union Européenne³.

Qu’est-ce qu’une donnée à caractère personnel ?

Une donnée à caractère personnel est constituée d’information qui se rapporte à une personne physique, qu’elle soit identifiée ou identifiable. Ces informations peuvent se référer à une identité, des coordonnées, une adresse IP, des habitudes de consommation, des données de localisation ou mêmes des informations relatives à la vie personnelle.

Qui est touché par le RGPD ?

Il existe deux critères pour distinguer les entreprises concernées par le RGPD. Les organisations concernées par cette règlementation sont celles qui traitent des données personnelles lorsque ces organisations sont établies sur le territoire de l'Union Européenne, ou si ces activités ciblent directement les résidents européens. De ce fait, toutes les entreprises qui manipulent et stockent des données à caractère personnel en Union Européenne sont concernées.

La protection des données dans le monde

Le CCPA (California Consumer Privacy Act) en Californie :
À l'instar de la RGPD, le CCPA est la première loi faisant autorité sur la confidentialité des données du pays, qui est entrée en vigueur le 1er janvier 2020. Le but de cette loi est de réglementer toute entreprise qui fait des affaires en Californie, même celles qui n’ont pas de présence physique dans l'État, et déterminer les moyens et les objectifs du traitement des informations personnelles.

Le LGPD (Lei Geral de Proteção de Dados) au Brésil :
Depuis le 16 août 2020, une nouvelle loi brésilienne sur la protection des données est entrée en vigueur. Inspirée de notre modèle RGPD, les autorités brésiliennes ont voté cette loi le 14 août 2018 afin qu’elle vienne renforcer les dispositions actuelles concernant la collecte des données personnelles dans le pays.

L’APPI (Protection of Personal Information Act) au Japon :
Le 5 juin 2020, la Diète japonaise a approuvé un projet de loi modifiant partiellement la loi sur la protection des renseignements personnels (l'« APPI » ). L'amendement vise à répondre à ce besoin d'équilibrer la protection et l'utilisation des renseignements personnels avec les risques découlant des transferts de données nationaux et transfrontières. Cela a été fait en renforçant les droits des personnes concernées et en imposant de nouvelles obligations aux entreprises qui collectent et traitent des informations personnelles.

La CNIL et les sanctions de non-respect RGPD

La CNIL surveille et contrôle les usages informatiques afin de se conformer à la législation française. Cela implique de veiller à ce que les données diffusées ou collectées via Internet soient conformes aux principes de la liberté individuelle, de la liberté de pensée et des principaux droits de l'homme. Elle possède cinq grandes missions qui vont de la pédagogie au pouvoir de sanction : informer et protéger, accompagner et conseiller, contrôler, sanctionner, anticiper⁴.

Deux sanctions peuvent être prise si les organismes (privés ou publics) ou les entreprises qui se chargent du traitement des données personnelles enfreignent le règlement RGPD mis en place le 25 mai 2018. Ces sanctions, très élevées, ont pour but premier de dissuader les entreprises de violer ce règlement.

Les sanctions administratives : en fonction de la durée, de la nature et de la gravité des violations, les sanctions administratives peuvent être divisées en deux catégories.

• - Selon la gravité du dysfonctionnement observé et lié au RGPD, une amende de 2% du chiffre d'affaires mondial pourra être appliqué pour l’entreprise, ou 10 millions d'euros d’amende.
• - Si l’infraction est plus grave, et notamment liée à la mauvaise application ou au non-respect du RGPD, une amende correspondant à 4 % du chiffre d’affaires mondial ou 20 millions d’euros d’amende sera appliqué.

Les sanctions pénales : selon l’article 84 du RGPD, les États Membres de l’Union Européenne peuvent imposer des sanctions supplémentaires lorsqu’il y a non-respect du RGPD. Ces sanctions ont pour but premier de réprimander toute violation qui ne ferait pas l’objet d’amendes administratives selon l’article 83 du RGPD. Ces sanctions pénales peuvent aboutir jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (Article 226-16 du Code pénal) ⁵.

Afin d’entrer dans un processus de mise en conformité RGPD, il est important pour une entreprise d’avoir une vue sur ce qui doit être mis en place à plus ou moins court terme dans le but de corriger des lacunes et failles identifiées au sein de son fonctionnement.

Les audits de conformité RGPD

Depuis l’application de la règlementation liée au RGPD en 2018, les audits de conformités ne cessent de croitre dans les entreprises. Ces expertises ont pour but de contrôler le niveau de conformité au RGPD et à la législation sur la protection de la vie privée en général au sein des entreprises.

Malgré la recrudescence de ces audits, il est pourtant très fréquent encore aujourd’hui, que des entreprises se retrouvent en position de non-conformité, par non-maîtrise pour certaines, ou par désintérêt et manque d’information pour d’autres. Or, il devient primordial pour les entreprises de maîtriser leur conformité et de s’assurer que la protection des données personnelles ait bien été prise en compte.

L’équipe Goons vous conseille et vous accompagne

Chez Goons, nous appliquons le principe du « RGPD by design » pour tous les nouveaux développements qui nous sont confiés. Nous assurons une protection optimale de vos données personnelles dès la conception de votre projet. De cette manière, la protection de vos données n’est plus une option pour vous mais une obligation indissociable de vos activités, limitant ainsi les risques de non-respects des exigences RGPD.

Goons intervient également auprès des entreprises pour réaliser des prestations d’audit, la cartographie de vos données et vous apporter des préconisations dans le but d’améliorer les processus et les activités évalués. Vous aurez ainsi tous les outils clés en main pour être RGPD Compliant !

N’hésitez pas à nous faire part de votre demande via notre formulaire, conforme RGPD !

Sources :
¹ : https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on#:~:text=Qu'est%2Dce%20que%20le,territoire%20de%20l'Union%20europ%C3%A9enne
² : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2
³ : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR
⁴ : https://www.journaldunet.fr/management/guide-du-management/1198287-cnil-commission-nationale-de-l-informatique-role-mission-rgpd/
⁵ : https://www.legalplace.fr/guides/rgpd-sanction/