Le Règlement Général sur la Protection des Données (RGPD) entre en vigueur aujourd’hui
Vous avez reçu depuis plusieurs semaines des avalanches de mails pour des mises à jour de CGV/CGU, des demandes de confirmation d’inscription à des mailing lists, et tout cela en préparation du jour J qui marque l’entrée en vigueur du RGPD.
C’est un document long et complexe et il faudra sans doute du temps pour voir quelle sera sa portée et l’impact de son application aux entreprises de toutes tailles et qui traitent des données diverses et variées.
Cet acte juridique de l’Union européenne s’applique dès aujourd’hui et offre une protection à l’ensemble des citoyens européens. Le règlement s’applique y compris lorsque les données sont collectées et traitées par une entreprise établie en dehors de l’UE, comme les GAFA.
Si l’on parle beaucoup des grandes entreprises qui collectent des montagnes de données, ce règlement prévoit des obligations pour toutes les entreprises qui collectent des informations, y compris les TPE et PME.
Parmi les nouveaux grands principes qu’il pose, il y a maintenant l’obligation de recueillir le consentement de l’utilisateur avant la collecte et le traitement de ses données, via un système d’opt-in.
S’il n’y a pas de limites aux différents types de données qui peuvent être collectées, les entreprises doivent maintenant s’astreindre à recueillir le minimum nécessaire au service. Ainsi si l’adresse postale doit être recueillie pour livrer un colis, la date de naissance ou la nationalité ne sera a priori pas nécessaire.
Toutes les données recueillies et traitées devront faire l’objet d’une sécurisation accrue.
S’ajoute à cela une obligation générale de transparence, sur les données collectées de façon directe et indirecte (cookies, croisement de données, etc.) et leur utilisation, la durée de conservation de ces données, l’éventuelle transmission des données à un tiers, et la signalisation des cas de fuites et de vols de données. L’utilisateur peut demander à consulter les données qui ont été collectées sur lui et aura désormais la possibilité de récupérer et transférer ses données d’un service à un autre.
Ces dernières années, les plafonds des amendes pouvant être prononcées pour la CNIL ont été progressivement relevés, passant de 150 000 € à 3 millions €. Avec ce nouveau texte l’amende maximale passe à 20 millions € ou 4% du chiffre d’affaire mondial de l’entreprise, le montant le plus élevé étant retenu.
C’est donc un texte très complet (complexe qui entre aujourd’hui en vigueur et ces quelques lignes ne dressent ici qu’un aperçu très rapide de quelques uns des points qu’il contient.
L’avenir dira si ce texte changera fondamentalement la façon dont nos données sont traitées, mais ce qui restera vrai partout sur internet, c’est que si c’est gratuit, c’est que vous êtes le produit.