Le RGPD (initiales de Règlement Général sur la Protection des Données) est un règlement européen adopté en 2016 et applicable depuis le 25 mai 2018. Il complète et étend les dispositions préexistantes en termes de protection des données, en prévoyant des sanctions plus importantes. Pour les entreprises, et notamment pour ceux concernés par la collecte de données, il est important non seulement d’en comprendre les tenants et aboutissants mais aussi de les appliquer à la lettre, sous peine de sanction.

Le domaine d’application du RGPD

Le RGPD s’applique à l’ensemble des traitements de Données à Caractère Personnel concernant des résidents européens. La définition des données à caractère personnel est extrêmement large : elle inclut par exemple les noms et prénoms, les adresses courriels, les adresses IP ou bien encore les photographies. La localisation de l’entreprise ne l’exonère pas du RGPD : ainsi les entreprises américaines sont justiciables du RGPD si elles traitent les données de résidents européens, ce qui a par exemple conduit le Los Angeles Times à fermer l’accès à son site depuis l’Europe pour éviter d’être en infraction !

Les grands principes du RGPD

L’un des principes clé impose l’obtention d’un consentement explicite, univoque et éclairé avant le recueil des données : il n’est plus possible de s’abriter derrière des conditions générales touffues et incompréhensibles pour justifier l’acquisition des données. Le recueil des données doit être proportionné au but recherché et le consentement au recueil de données ne doit pas conduire à un refus de service – c’est en se basant sur ce point qu’une ONG autrichienne a d’ores et déjà attaqué Facebook et quelques autres acteurs importants du web.

La seule exception permettant de se dispenser de consentement est lorsque les données sont indispensables au traitement : par exemple un site d’e-commerce expédiant une commande peut légitimement stocker l’adresse postale de son client. La durée de conservation des données personnelles doit dans tous les cas être conforme aux objectifs du traitement. La CNIL préconise par exemple de limiter l’archivage à trois ans, sauf exigences légales particulières.

Les données ne doivent pas être transférées hors de l’Union Européenne vers un pays moins protecteur en la matière sans consentement explicite. En cas de piratage de données, l’entreprise doit signaler le piratage dans un délai maximal de 72 heures après sa découverte.

Des sanctions dissuasives

De nombreuses dispositions du RGPD sont dans la droite ligne des mesures précédemment en vigueur, et ne devraient donc pas surprendre les entreprises. La différence est cependant que les sanctions prévues sont considérables : les amendes peuvent atteindre 4 % du chiffre d’affaire mondial ou 20 millions d’euros, la valeur la plus haute étant applicable.

Ceci explique sans doute que des entreprises, qui faisaient preuve d’une certaine désinvolture précédemment, se préoccupent nettement plus du RGPD qu’elles ne le faisaient auparavant des lois Informatiques et Libertés !