GDPR and data processing: the main points to remember
Jan 27, 2022
RGPD et traitement des données : les grands axes à retenir
Le Règlement Général sur la Protection des Données (RGPD) est la réglementation européenne qui vise à renforcer la protection des données personnelles. Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.
L’objectif principal étant « d’harmoniser le protection […] des personnes physiques en ce qui concerne les activités de traitement et [d’] assurer le libre flux des données à caractère personnel entre les Etats membres ». Celui-ci a donc un impact direct sur les entreprises traitant des données personnelles mais également sur les clients qui reprennent le contrôle de leurs données.
Pour les entreprises, l’application de cette réglementation les pousse à être transparents avec leurs clients sur l’utilisation des données récoltées, d’adopter une nouvelle politique de protection des données et de revoir les rôles de chacun en interne.
Le texte a trois objectifs : consolider les droits des personnes physiques, renforcer les pouvoirs des autorités européennes et responsabiliser les entreprises qui traitent les données à caractère personnel.
Le DPO, ou Data Protection Officer
Le DPO est au cœur du règlement européen, qui constitue le cadre juridique applicable depuis mai 2018 dans toute l’Union européenne. Les entreprises et institutions amenées à traiter des données personnelles à grande échelle consultent un Data Protection Officer (un délégué à la protection des données personnelles) ayant pour principale mission de s’assurer que son employeur ou son client respecte la législation dès lors qu’il utilise les données récoltées à des fins commerciales ou internes (logiciels RH). Il doit donc avoir une vision 360° de l’utilisation des données personnelles, un rôle transversal qui l’amène à travailler avec tous les services d’une entreprise (direction générale, marketing, développement ou encore les ressources humaines).
Pour ce faire, le DPO doit être impliqué dès le lancement du projet, procéder à la cartographie des données personnelles ainsi qu’aux processus de traitement tout en préconisant une politique de sécurité et de confidentialité adaptée. Pour ne jamais être dans le flou et risquer un manquement, le DPO doit contrôler périodiquement la conformité de l’entreprise (ou de son client) sur l’utilisation des données personnelles en engageant des actions d’analyses d’impacts, de risques et d’intrusion afin d’avertir l’intéressé d’une possible violation du RGPD.
Jouer la carte de la transparence
Qui dit récolte et traitement de données personnelles dit transparence totale ! Les entreprises se doivent de déclarer explicitement aux particuliers l’utilisation faite de leurs données, qu’ils peuvent toutefois refuser. Par ailleurs, les institutions doivent également communiquer aux consommateurs toutes failles ou vol de ces données lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques afin qu’elles puissent prendre les précautions qui s’imposent.
La Responsabilité (L’Accountability), principe fondamental du pacte européen, désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données, en fournissant une documentation détaillée.
La protection des données personnelles
Par ailleurs, les entreprises ont interdiction de transmettre les données personnelles d’un citoyen européen hors de l’Europe, les forçant ainsi à ne plus utiliser les services de sociétés étrangères (américaines, asiatiques, etc…). Et ce, que l’entreprise soit établie en Europe ou non, car le RGPD concerne toutes les entreprises traitant des données personnelles de citoyens européens et opérant sur ce marché. Pour que cette notion de protection des données soit respectée, les acteurs doivent intégrer nativement dans les solutions, applications (CRM, ERP, MDM…) et les « cloud service providers », les normes de sécurité mises en place sur l’ensemble du cycle de vie des données.
Le vrai droit à l’oubli
Le droit à l’oubli des données personnelles d’un particulier est possible. Ce dernier peut contacter l’entreprise en lui demandant de désactiver et/ou de supprimer, définitivement ses données. A ce moment là, l’entreprise n’a pas d’autre choix que d’exécuter la demande, sous un délais de 30 jours. Certains acteurs perçoivent ce changement comme une menace à leur fonctionnement, perdant ainsi définitivement les données de leurs utilisateurs. En réalité, ce qu’il faut retenir ici est que le client est replacé au centre du processus de réflexion de protection de la vie privée et en respectant le choix du consommateur l’entreprise maintien le lien de confiance instauré préalablement. Oui, car, accueillir un client, c’est généralement espérer le conserver et construire une relation durable basée sur une confiance mutuelle. Et la protection des données des clients participe fortement à cette confiance.
La portabilité des données
Le RGPD impose aux entreprises de mettre à disposition des particuliers qui le demandent, leurs données personnelles, dans un format structuré et lisible. Avec le droit à la portabilité des données, les utilisateurs peuvent demander à récupérer les données fournies à une plateforme pour un usage personnel ou pour les transmettre à un tiers. Ce nouveau droit vise à renforcer la maîtrise des données personnelles.
Bien évidemment cette réglementation est cadrée par des sanctions. On remarque plusieurs niveaux :
Faible : Rappel à l’ordre.
Élevé : En fonction des articles du règlement non respectés des amendes administratives allant de 10 à 20,000,000 d’euros ou de 2 à 4% du chiffre d’affaire annuel mondial.
Malgré le caractère très strict des dispositions du RGPD qui peut donner de la protection des données personnelles une image négative, nous pensons au contraire que l’existence d’un tel cadre unifié constitue, pour les entreprises européennes, une réelle chance de se différencier dans la compétition mondiale en mettant en avant un souci constant de protection des intérêts des consommateurs et des citoyens. Elle permet aussi d’augmenter la confiance de leur client à leur égard et de valoriser la qualité de la donnée. On ne parle plus de « Big Data » mais de « Smart Data ».
ViaDialog, RGPD Compliant
Dans cette optique, la protection des données est un axe primordial pour ViaDialog. Nous accordons une extrême importance à la protection et à la confidentialité des informations de nos clients et de nos utilisateurs. En effet, les exigences du RGPD sont, pour nous, essentielles et notre équipe ajuste continuellement nos engagements contractuels afin que nos clients puissent se conformer à la réglementation en vigueur.
ViaDialog est le seul acteur français à proposer l’intégralité des facteurs technologiques et maintenir recherche, développement et maintenance en France.