Logo Valoxy
Photo extérieur Valoxy

Rue du Pré Catelan
La Madeleine, Nord-Pas-de-Calais
Tél : +33 (0) 3 20 39 33 47

L’entrée en application du RGPD
5 (100%) 1 vote

L’entrée en application du RGPD

Le RGPD – Règlement Européen pour la Protection des Données – est entré en vigueur  en 2018 en deux temps, le 1er janvier et le 25 mai. Son objectif est la protection des consommateurs puisqu’il oblige toutes les entreprises qui récoltent des données personnelles à informer explicitement les internautes de leur démarche, et à sécuriser au maximum leurs systèmes informatiques.

Quelles entreprises sont concernées ? Quelles sont les actions concrètes à mener et quels sont les premiers retours d’expérience ? Valoxy, cabinet d’expertise comptable dans les Hauts de France, vous propose une synthèse sur le RGPD.

Le RGDP : pour quoi et pour qui ?

Le Règlement Européen pour la Protection des Données (RGPD) à pour objectif de protéger les citoyens des cyberattaques, mais d’abord de l’utilisation abusive de leurs données personnelles par les entreprises. Ces dernières sont ainsi soumises à de nouvelles obligations, entrées en vigueur en deux temps au cours de cette année 2018, le 1er janvier et le 25 mai.

Les entreprises concernées par le RGPD

Toutes les entreprises qui collectent des données personnelles relatives aux consommateurs européens sont concernées par le respect des nouvelles obligations du RGPD. Il y a par exemple les e-commerçants qui stockent des codes de carte bleue, les blogueurs qui demandent à leurs lecteurs de remplir un formulaire de contact pour l’envoi de newsletters ou encore les professionnels qui installent des cookies sur leur site Internet pour récolter les données de navigation. Bref, en France, toute entreprise peut être concernée par le RGPD, de la plus petite à la multinationale, dès lors qu’elle collecte des données via son site Web.

Les dispositions du RGPD

De l’utilisation des cookies

Depuis le 1er janvier 2018, le RGPD oblige les entreprises qui utilisent des cookies (vous savez, les fameux fichiers intégrés des sites Internet, qui traquent les internautes tout au long de leur parcours sur la Toile en récupérant leurs données de navigation) :

  • à informer explicitement tout internaute qui se rend sur le site de la finalité de cet outil (constitution d’un fichier, vente de données de navigation, etc.),
  • à obtenir l’autorisation expresse d’utiliser ce(s) cookie(s) durant la visite sur le site. Cette obligation se traduit par une demande d’acceptation de cookie que l’internaute doit lui-même cocher (les cases pré-cochées sont interdites).

La portabilité des données

La disposition du RGPD relative à la portabilité des données signifie que les entreprises doivent être en mesure de transmettre – ou de détruire – toute donnée personnelle relative à un consommateur, sur simple demande de sa part. Pour ce faire, les informations concernées doivent être stockées dans des fichiers adéquats, dont le format est facilement modifiable, transférable ou détruit.

Nommer le responsable dédié à la protection des données

Les entreprises qui récoltent des données personnelles doivent disposer d’un responsable joignable par les internautes, apte à transmettre leurs informations, les modifier ou les détruire. Dans ce contexte, en plus des mentions légales, les professionnels doivent faire apparaître sur leur site la disposition suivante : « conformément à la loi informatique et liberté du 6 janvier 1978, modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à “indiquer le nom et les coordonnées du responsable à contacter”. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données qui vous concernent. »

Structurer son site Web de manière à protéger le consommateur

Depuis le 25 mai 2018, les entreprises qui collectent les données des consommateurs doivent structurer leur site Internet, leur système d’informations et leurs bases de données de manière à protéger les informations qui y sont stockées. C’est ici la conception même des systèmes informatiques et de leur utilisation qui doivent inclure la notion de protection des données, en y intégrant, par exemple, des outils de cryptage, un processus de renouvellement régulier des mots de passe, la limitation des personnes qui ont accès aux informations personnelles ou encore l’accès par étapes successives au cœur des bases de données, etc. Cette obligation est une obligation de moyens et non de résultats.

48 heures pour prévenir la CNIL en cas de piratage informatique

Depuis le 25 mai 2018 également, les entreprises ont l’obligation de prévenir la CNIL sous 48 heures en cas de piratage informatique.

En cas de manquement à cette obligation, l’entreprise sera contrainte de rendre public le piratage dont elle a fait l’objet. De plus, en cas de contrôle, si la CNIL constate un manquement en matière de sécurisation des données au sein de l’entreprise, elle pourra infliger une sanction financière allant jusqu’à 4 % du chiffre d’affaires de l’entreprise et 20 millions d’euros.

Premiers retours et impact de l’application du RGPD

Comme l’ont annoncé de nombreux cabinets d’audit, les entreprises n’étaient pas tout à fait conformes au RGPD à la fameuse date du 25 mai 2018 (plus de 50 % des entreprises n’étaient pas prêtes, selon le cabinet Gartner). Le sujet a tout de même été traité en profondeur par les professionnels français. Preuve en sont les dizaines de courriels que nous avons reçus dans nos boîtes de messagerie au printemps dernier sollicitant notre acceptation à l’envoi de newsletters, pour figurer dans des bases de données et autres mises en conformité. Mais, outre l’obligation d’informer les consommateurs, la vraie difficulté consiste, pour les entreprises, à sécuriser suffisamment leurs systèmes informatiques, car le RGPD mentionne une obligation de moyens mais n’oblige à réaliser aucune action spécifique.

Ce qui est sûr, c’est que les bases de données devront être constituées uniquement de contacts « opt-in » (c’est-à-dire dont le consentement a été expressément donné), que l’achat de fichiers de consommateurs doit être banni et que la simple souscription d’une assurance spécifique au piratage informatique est insuffisante pour se mettre en conformité avec le RGPD.

Grâce à ses équipes, et avec ses partenaires, Raphael Rault, avocat, ALTER VIA, et Thomas Masson, MANELTO, spécialiste NTIC, Valoxy a développé une expertise pour vous permettre d’analyser vos besoins éventuels, et de répondre aux exigences du RGPD. N’hésitez pas à les appeler !

Pour plus d’informations sur le RGPD et les nouvelles obligations en matière de sécurité des données personnelles, retrouvez nos articles sur le blog de Valoxy :

RGPD

Laisser un commentaire

You have to agree to the comment policy.

Pas de commentaire