RGPD, CNIL et protection des données personnelles
Le Règlement européen sur la Protection Des Données, RGPD ou GDPR, met en place un cadre juridique et une harmonisation des lois au niveau de l’Union Européenne.
Un DPO, délégué de protection des données doit être signalé en interne. C’est le garant de la conformité de l’entreprise à la réglementation, à la fois juridique et technique.
Les données concernées par le RGPD
Il s’agit de données transmises volontairement par la personne via un formulaire par exemple, qui sont collectées du fait de son activité (historique d’achat par exemple). Les données générées par le traitement des données initiales n’est pas soumis à la réglementation, de même que les données traitées sur une base d’obligation légale ne sont pas concernées (par exemple les données sociales collectées pour l’employeur), ni les données qui peuvent porter atteinte aux droits des tiers (échanges de messages par exemple).
L’éditeur est tenu de restituer ou transférer les données transmises.
Quels sont les risques en cas de non respect du RGPD ?
☑ Sanctions financières : jusqu’à 3M€ depuis 2016, et jusqu’à 4% du CA ou 20 M€ à partir du 25/05/2018.
☑ Sanction pénale : jusqu’à 5 ans d’emprisonnement pour le responsable de traitement
☑ Sanction opérationnelle : Avertissement, mise en demeure, interruption, retrait d’autorisation ou injonction de cesser le traitement.
☑ Sanction médiatique : la CNIL peut rendre publique les sanctions qu’elle prononce et ordonner leur insertion dans les publications diverses aux frais des établissements sanctionnées.
En cas de violation, celles-ci doivent être signalées dans les 72h. À défaut une amende pouvant atteindre 10 millions d’euros ou un pourcentage du CA est imposé à l’entreprise.
Les obligations pour le responsable du traitement
☑ Informer les personnes concernées de leurs droits et préciser le type de données pouvant faire l’objet d’un transfert.
☑ Demander les justificatifs qui garantissent l’identité du demandeur pour vérifier qu’il s’agit bien de la personne concernée et éviter les fraudes.
☑ Le transfert doit être obtenu avec accord, réalisé dans un format technique lisible, sans contrainte techniques et sans frais.
☑ La société réceptive des données doit être en réglementation avec les normes des données personnelles.
Les principaux changements
La portabilité des données
Les personnes physiques ont le droit à la portabilité des données. Ce qui induit une matérialisation des données. Les données deviennent un bien meuble. La personne visée par les données peut demander leurs transferts ou restitution.
La protection des données
La protection des données et leurs structurations prennent plus d’importance dans les projets et doivent faire l’objet d’une phase de réflexion spécifique. Les exigences doivent être nativement intégrées dans les applications et solutions CRM, ERP, services cloud. Les datas center doivent respecter les normes de sécurité sur l’ensemble du cycle de vie des données.
L'autorisation d'exploitation
Le consentement à l’utilisation des données doit être signalé clairement par son propriétaire. La preuve du consentement devra être apportée pour les différents usages réalisé avec les données (démarchage, marketing, analyse statistique, revente, etc.).
En tant qu’ERP, les entreprises clientes se reposent sur votre expertise et vos compétences afin d’être en conformité dans avec la réglementation. Aussi les données devront faire l’objet d’articles dans les contrats, et leur valorisation et utilisation seront plus réglementés également. Les données feront l’objet d’importance plus spécifique au sein des projets d’entreprises.