Quels sont les grands principes de la loi RGPD ?

Qui est concerné par ce règlement ?

Le RGPD concerne l’ensemble des entreprises exploitant les données personnelles d’internautes résidant au sein de l’Union Européenne.

A quoi correspond les données personnelles ?

Cette nouvelle loi définit l’ensemble des données dites « personnelles » comme étant des informations permettant d’identifier de manière directe ou indirecte un internaute. Voici quelques exemples de données personnelles :

• Nom
• Prénom
• Adresse
• Adresse email
• Numéro de téléphone
• Adresse IP
• Date de naissance
• Numéro de sécurité sociale
• Carte de crédit
• Identifiant Carte SIM

Les grands principes de la loi RGPD

Cette nouvelle législation est organisée autour des grands principes suivants :

Le contrôle des données par les internautes

Dans le cadre du RGPD, l’internaute redevient maître des données qu’ils partagent avec l’entreprise. Il doit donc valider explicitement la collecte de ses données personnelles avant tout traitement de la part d’une entreprise (voir le google consent mode). Après traitement et collecte de ses données, il peut à tout moment rectifier, récupérer, ou demander la suppression de ses données.

Il est donc nécessaire d’être transparent concernant la manière dont les données seront recueillies et le traitement de celles-ci par l’entreprise.

La localisation des données

La localisation des données est un des points majeurs de cette loi. Les données sont-elles stockées au sein de l’Union Européenne ou à l’étranger ? Dans le cas, ou les données personnelles seraient localisées à l’extérieur de l’UE, il faudrait s’assurer que les pays hébergeant ces informations aient un niveau de protection équivalent au RGPD.

Obligation de rapporter une faille de sécurité

Les fuites et les failles de données ont été importantes au cours des dernières années notamment depuis des services utilisés rassemblant un grand nombre d’utilisateurs tels que : Yahoo, LinkedIn ou encore Uber. Ces fuites font rarement l’objet d’une communication claire.

C’est pourquoi l’Union Européenne a souhaité plus de transparence en obligeant les entreprises à communiquer toutes failles de sécurité à leurs régulateurs nationaux (correspondant à l’équivalent de la CNIL française dans les pays de l’UE).

Nécessité d’embaucher un Data Protection Officer

Toute entreprise effectuant des traitements de données à grande échelle ou manipulant des données sensibles (santé notamment) devra nommer un responsable des données : DPO (Data Protection Officer). Le DPO devra veiller à ce que le processus de collecte et de traitement des données soit en conformité avec le RGPD.

Ci-dessous une infographie de l’agence Data Marketing Axionable résumant les enjeux de cette loi :

 

Les sanctions

Le non-respect de la RPGP expose l’entreprise à des sanctions financières pouvant atteindre les 20 millions d’euros ou 4% du chiffre d’affaires mondial.

Il est donc important de se mettre en conformité dès que possible sous peine de devoir s’acquitter d’amendes importantes.