Les données personnelles des consommateurs constituent une ressource inestimable pour les entreprises. En les exploitant, elles peuvent mieux cibler leur marketing. Toutefois, afin de protéger les droits des personnes et de la vie privée, ces données sont soumises au règlement général sur la protection des données. Plus connue sous le signe RGPD en Europe (ou GDPR pour les Anglo-saxons), cette législation vise à encadrer et à harmoniser le traitement des données par les états membres de l’Union européenne. À l’occasion de la journée internationale de la protection des données, le 28 janvier, il nous semblait important de faire le point sur les obligations des entreprises européennes en matière de RGPD.
Quels sont les principes du RGPD ?
Depuis son adoption en 2016 et son entrée en vigueur le 25 mai 2018, le RGPD Europe a pour objectif de préserver la vie privée de tout citoyen européen en protégeant ses données personnelles. Cela se fait à travers six axes principaux.
1 - Licéité, loyauté et transparence
Les données personnelles doivent être collectées et traitées de manière licite, équitable et transparente. Pour cela, les personnes concernées doivent être informées de la façon dont leurs données sont utilisées.
2 - Limitation des finalités
La collecte des données personnelles doit être réalisée à des fins spécifiques, explicites et légitimes. L’entreprise doit informer la personne concernée avant de collecter ses données et ne pas dépasser le cadre établi par le consentement initial.
Dans l’optique où une entreprise souhaiterait les utiliser a posteriori à d’autres fins, elle doit apporter une attention particulière à cette nouvelle finalité. Voici quelques questions à se poser :
- Quel est lien entre la finalité initiale et future ;
- Dans quel contexte les données sont-elles collectées ;
- Les données sont-elles sensibles (santé, recherche scientifique…) ;
- Quel impact ce nouveau traitement des données peut-il avoir sur la personne concernée ;
- Existe-t-il des garanties appropriées ?
Si la nouvelle finalité sort du consentement initial, un nouveau consentement devra être obtenu.
3 - Minimisation des données
Dans la mesure du possible, les données à caractère personnel ne devraient pas être traitées. Dans le cas contraire, elles doivent être limitées, pertinentes et en adéquation avec les fins visées.
Par exemple, il est inutile de demander à une personne sa date de naissance si celle-ci n’a pas pour but d’être exploitée. Le RGPD demande ainsi de limiter la collecte de data uniquement à celles qui sont pertinentes.
4 - Exactitude
Les données personnelles doivent être exactes et donc être mises à jour quand cela est nécessaire pour refléter l’état actuel des personnes concernées.
5 - Limitation de la conservation
Toute donnée doit être conservée pour une durée limitée et la plus courte possible (durée du projet, par exemple). Ainsi, quand les données ne sont plus nécessaires aux fins pour lesquelles elles ont été recueillies, elles doivent être effacées ou anonymisées.
Dans certains cas, des données doivent juridiquement être conservées pendant plusieurs années (données des employés de l’entreprise, etc.).
6 - Intégrité et confidentialité
Des mesures de sécurité appropriées doivent être mises en œuvre afin de protéger les données à caractère personnel de toute forme de :
- Falsification ;
- Perte ;
- Détérioration ;
- Dégât d’origine accidentelle ;
- Accès non autorisé.
Est-ce que le RGPD est obligatoire en Europe ?
Le RGPD s’applique à toutes les entreprises et les organisations qui collectent, utilisent ou traitent des données personnelles de citoyens de l’Union européenne, quelle que soit leur taille, leurs activités ou leur localisation. L’application du règlement européen se fait également au niveau des sous-traitants.
Il est important de souligner le fait qu’un pays hors de l’Union européenne traitant des données personnelles de citoyens de l’UE a l’obligation d’appliquer le RGPD. Le responsable des services généraux joue ici un rôle puisqu’il doit faire appliquer la législation.
En cas de non-respect des règles, la Commission européenne prévoit des sanctions, comme des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel de l’entreprise.
Mais qui est concerné par le RGPD ? Voici la liste des pays où s’applique le RGPD en Europe :
- France ;
- Allemagne ;
- Italie ;
- Espagne ;
- Portugal ;
- Pays-Bas ;
- Belgique ;
- Luxembourg ;
- Danemark ;
- Irlande ;
- Finlande ;
- Suède ;
- Autriche ;
- Grèce ;
- Croatie ;
- Bulgarie ;
- Roumanie ;
- Chypre ;
- République tchèque ;
- Estonie ;
- Lettonie ;
- Lituanie ;
- Hongrie ;
- Malte ;
- Slovénie ;
- Slovaquie ;
- Pologne.
Comment communiquer à propos de la collecte des données ?
À l’heure de la digitalisation et de l’intelligence artificielle, le data-driven, permettant d’améliorer la prise de décisions, fait partie intégrante de la politique RSE en entreprise. Il est donc important de préciser qu’une organisation a l’obligation d’expliquer de façon très claire à ses clients pourquoi leurs données sont collectées, comment elles sont utilisées et pour combien de temps elles seront conservées.
Voici les informations à communiquer aux personnes dont les données personnelles sont collectées :
- Qui est votre entreprise ;
- À quelles finalités sont collectées les données ;
- Quelles catégories de données personnelles sont concernées ;
- La raison juridique de cette collecte ;
- La durée de conservation des données ;
- Les éventuels autres destinataires en Europe ;
- Si les données sont transférées en dehors de l’UE ;
- Leurs droits en termes de copie et de protection des données ;
- Leur droit de réclamation ;
- Leur droit d’annuler leur consentement à tout moment.
RGPD en Europe : quelle évolution de la législation concernant la protection des données ?
Le RGPD remplace la directive sur la protection des données de 1995 et vise le renforcement de la préservation de la vie privée en ligne. Au fil des ans, le cadre juridique doit s’adapter pour suivre l’évolution de la société et des technologies, notamment l’accroissement de l’utilisation du numérique et le développement du e-commerce.
Ainsi, de nouvelles réglementations sont venues renforcer la protection des données personnelles.
Les entreprises doivent dorénavant notifier l’autorité de contrôle en cas de violation de données susceptible de porter atteinte aux droits et libertés des personnes concernées.
Un DPO (Délégué à la Protection des Données ou Data Protection Officer) doit être nommé dans les entreprises traitant des données de manière systématique et à grande échelle, ou sensibles.
Le principe de protection des données doit être respecté dès la conception (privacy by design).
Les entreprises ne sont plus tenues de déclarer les traitements de données à l’organisme national dédié (sauf traitements spécifiques). En revanche, elles ont l’obligation de tenir des registres de traitements des données personnelles pour prouver leur conformité au RGPD en cas de contrôle.
Dès lors qu’un sous-traitant a accès aux fichiers de traitement, l’entreprise doit établir un contrat de sous-traitance incluant les obligations RGPD. Cette responsabilité s’applique en cascade pour tous les sous-traitants de la chaîne.
Les citoyens ont le droit de refuser que leurs données personnelles soient utilisées à des fins de prospection commerciale ou d’analyse automatisée en vue de classement ou de prédiction (technique de profilage). Ils peuvent aussi demander de recevoir les données collectées les concernant (droit de portabilité des données).
RGPD Europe : quel impact pour les collaborateurs ?
La mise en place du RGPD a des conséquences sur les collaborateurs des entreprises, notamment en ce qui concerne le traitement de leurs données personnelles. En vertu du RGPD, les entreprises doivent informer leurs collaborateurs en toute transparence sur le traitement de leurs données personnelles, comme expliqué plus haut (raisons de la collecte, durée de conservation prévue et destinataires des données).
Les collaborateurs disposent d’un droit d’accès à leurs data et de demander leur rectification ou leur suppression en cas d’inexactitude.
Enfin, le RGPD prévoit des mesures de protection des données personnelles des collaborateurs, notamment en cas de transfert de leurs données à des tiers, de violation de données ou de licenciement. Ces mesures visent à garantir que les données des collaborateurs sont traitées de manière confidentielle et à protéger leurs droits et libertés.
Nous vous invitons à télécharger notre livre blanc « Politique achats et RSE » pour compléter vos connaissances en termes de responsabilité des entreprises.