RGPD & saisie des données personnelles : les obligations et les sanctions (22/09/2019)
Le RGPD a été mis en place pour renforcer les pratiques des acteurs du numérique. Il s’inscrit dans la continuité de la loi Informatique et Libertés et mérite par conséquent une attention particulière, car les contrevenants risquent de très fortes pénalités.
Généralités sur le RGPD
Le Règlement général sur la protection des données personnelles (RGPD) ou General data protection regulaton (GDPR) en anglais, est le texte européen de référence en matière de protection de données. En vigueur depuis le 25 mai 2018, il est applicable dans les 28 pays membres de l’Union européenne, et s’adresse à tous les organismes dans le monde qui fournissent des biens à des ressortissants européens. L’enregistrement, l’hébergement et la manipulation des données personnelles de résidents européens y sont expressément mentionnés.
Le RGPD/GDPR est le remplaçant de la directive sur la protection des données personnelles adoptée en 1995. Il est largement inspiré de la loi Informatiques et Libertés, qui existe depuis 1978, et qu’il vient renforcer. Sa mise en place est justifiée par la montée en puissance des acteurs du numérique dans la vie quotidienne où l’exploitation des données personnelles par les organismes est constatée. Cette pratique, qui a un objectif de profilage, de monétisation et de personnalisation, doit être recadrée pour améliorer la protection des données personnelles. Dans ce sens, les organismes doivent mettre en place une gouvernance de données standardisée et transparente.
En gros, le RGPD/GDPR a pour objectif de redonner aux individus le contrôle de leurs données personnelles et de simplifier l’environnement réglementaire pour les acteurs du numérique. Il modifie en profondeur le processus de collecte, de gestion, de stockage et de protection des données, particulièrement pour les organismes qui n’ont pas encore appliqué les dispositions de la directive de 1995.
Quelles sont les obligations liées au RGPD/GDPR ?
Le RGPD/GDPR reconnait divers droits aux individus, entre autres, le droit d’accès à la donnée de la personne concernée, le droit de rectification, le droit à la limitation du traitement, le droit d’opposition et le droit à la transparence des informations et des communications. Deux nouveaux droits ont été introduits en complément de ceux déjà reconnus par la loi Informatique et Libertés : le droit à l’oubli et le droit à la portabilité des données.
Dans le même esprit que la loi Informatiques et Libertés, le RGPD/GDPR officialise un certain nombre d’obligations pour les organismes. La première obligation est l’auto-responsabilité qui oblige les organismes à démontrer leur conformité. Les organismes ont aussi une obligation d’information, et les individus doivent accepter explicitement la collecte et le traitement de leurs données. Par ailleurs, les données collectées ne peuvent être collectées et utilisées que pour un usage précis et légitime et qui correspond aux missions de la personne en charge du traitement. Dans le cas où l’organisme exploite les données personnelles à grande échelle, la nomination d’un responsable dédié est obligatoire.
A quelles sanctions s’exposent les contrevenants ?
Ces obligations doivent être respectées à la lettre afin les pénalités. Il est à la rappeler que la Commission européenne a fortement durci les pénalités que risquent les contrevenants. Ces pénalités, qui sont colossales, peuvent atteindre 2% du chiffre d’affaires de l’organisme non conforme ou 10 millions d’euros, le montant le plus important étant retenu. Elles sont de 4% de CA ou 20 millions d’euros pour un organisme qui ne respecte pas le droit des internautes. A ces pénalités s’ajoutent les éventuels dommages sur la réputation de l’organisme. Il est donc plus que recommandé de se faire accompagner par un spécialiste en la matière pour éviter les erreurs qui peuvent coûter très très cher.
