Le Règlement Général pour la Protection des Données est une loi en vigueur dans toute l'Union européenne depuis 2018. Elle régule les pratiques de collecte et de traitement de données personnelles par les entreprises, afin de protéger la vie privée des citoyens européens. Découvrez tout ce que vous devez savoir sur le RGPD.
Au fil des années, l'humanité génère de plus en plus de données. Selon Statista, le volume total d'informations a atteint 62,2 zettabytes en 2020 et devrait dépasser 180 zettabytes d'ici 2025.
Cette explosion du Big Data est liée à l'essor de nouvelles technologies numériques comme les smartphones, les réseaux sociaux, le e-commerce ou l'Internet des Objets.
En analysant ces données, les entreprises peuvent mieux comprendre les consommateurs. Elles peuvent identifier leurs attentes et leurs préférences, leurs besoins et leurs comportements d'achat dans le but de prendre de meilleures décisions.
Toutefois, cette pratique induit un risque pour la vie privée des consommateurs. Afin d'empêcher les dérives et les abus, il est nécessaire de fixer des limites à l'exploitation des données personnelles. Tel est le rôle du RGPD : le Règlement Général pour la Protection des Données de l'Union européenne.
Qu'est-ce que le RGPD ?
L'acronyme RGPD désigne le Règlement Général pour la Protection des Données. Approuvée en 2016, cette loi est entrée en vigueur dans l'Union européenne depuis 2018 et a marqué un tournant pour la protection de la vie privée à l'ère du Big Data.
Il s'agit d'un cadre légal de protection des données pour tous les pays membres de l'UE, auxquels s'ajoutent les membres de l'Espace Economique Européen à savoir l'Islande, le Liechtenstein, la Norvège et la Suisse.
Le but du RGPD est de protéger la vie privée des citoyens, dont les données personnelles sont collectées par les entreprises. Ces dernières sont soumises à des obligations et des restrictions visant à empêcher les abus.
Ce règlement remplace la Data Protection Directive (DPD) en vigueur dans l'UE depuis 1995. À l'époque, l'écosystème numérique était très différent et cette loi n'est plus adaptée aux enjeux modernes liés aux nouvelles technologies telles que les smartphones ou le marketing numérique.
Qu'est-ce que les données personnelles ?
Le RGPD couvre les données personnelles telles que le nom, l'adresse email, le numéro de carte de crédit ou toute autre information pouvant mener à l'identification d'une personne.
Ce règlement concerne aussi les données liées aux nouvelles technologies comme les smartphones et les réseaux sociaux. Ceci inclut les données biométriques ou de géolocalisation, les adresses IP ou tout autre détail personnel dévoilé sur le web.
En revanche, les entreprises sont autorisées à stocker et traiter des données anonymisées ne permettant pas de remonter jusqu'à l'identité d'une personne.
Qui est concerné par le RGPD ?
Le RGPD s'applique à toutes les entreprises traitant des données de citoyens de l'Union européenne, Ceci ne concerne pas uniquement les entreprises européennes, mais également les entreprises étrangères commercialisant leurs produits dans l'UE et collectant des données personnelles de consommateurs.
En outre, cette loi concerne aussi les entreprises collectant des données pour analyser le comportement des citoyens de l'UE sur le web. Les sites web basés à l'étranger, mais visités par des internautes européens sont donc soumis au règlement.
Dans le texte du RGPD, un citoyen européen dont les données sont collectées par une entreprise est qualifié de « sujet de données ». Une entreprise traitant les données de citoyens de l'UE est désignée comme « contrôle de données ». Si le traitement de données est délégué à un sous-traitant, il est désigné comme « traiteur de données ».
En résumé, la plupart des plus grandes entreprises mondiales sont soumises au RGPD. Toutefois, cette loi concerne aussi les petites entreprises traitant des données de citoyens de l'UE.
Quelles sanctions en cas de violation du RGPD ?
Une entreprise ne respectant pas le RGPD s'expose à une très lourde amende. La sanction peut atteindre 24 millions d'euros, ou 4% du chiffre d'affaires mondial si ce pourcentage représente une somme supérieure.
Les infractions les moins graves peuvent entraîner une sanction de 10 millions d'euros ou 2% du chiffre d'affaires mondial. Outre les amendes, les autorités de protection de données peuvent aussi infliger des mises en demeure ou imposer des restrictions d'activité.
Une entreprise peut se voir interdire le traitement de données de citoyens de l'UE, purement et simplement. Il est donc très important de se conformer à la loi.
La première pénalité RGPD massive fut infligée à Google par la CNIL : l'autorité française de protection des données. En janvier 2019, le géant américain a écopé d'une amende de 50 millions d'euros pour ne pas avoir pleinement informé les utilisateurs sur la façon dont leurs données collectées par l'OS Android seront utilisées.
Au cours de la même année, l'autorité britannique de protection des données, l'ICO, a infligé des amendes de 230 millions et 123 millions de dollars à British Airways et Marriott suite à une fuite de données massive de leur clientèle. Ces amendes furent toutefois réduites à 27 et 25 millions par la suite.
Depuis son entrée en vigueur, le RGPD a eu un impact majeur . Désormais, les entreprises prennent soin de protéger les données des consommateurs dès la conception des produits et des services. En parallèle, les consommateurs ont pris conscience de l'importance de la confidentialité et sont devenus plus exigeants.
Ce règlement a également fait des émules à l'international. Plus de 100 pays ont implémenté leur propre loi de protection des données, dont la Chine, le Japon, la Thaïlande, le Canada ou la Californie.
Comment se conformer au RGPD ?
Vous l'aurez compris : il est primordial pour les entreprises de tous les secteurs de se conformer au RGPD. Ceci implique de respecter plusieurs règles en termes de collecte, d'utilisation et de stockage de données.
La loi impose notamment de recueillir le consentement des sujets de données, d'indiquer quelles informations sont collectées et de quelle façon elles sont utilisées, et d'assurer la sécurité des données contre les fuites ou les cyberattaques.
De manière générale, le RGPD vise à permettre aux citoyens de l'UE de conserver le contrôle de leurs données, même après avoir autorisé leur usage par une entreprise.
Les sept grands principes du RGPD sont la transparence, la nécessité du traitement de données, la minimisation de collecte et du temps de stockage, l'exactitude des données, la confidentialité, et la responsabilité.
La mise en conformité RGPD requiert notamment l'emploi d'un délégué à la protection des données (DPO) chargé de superviser les activités de traitement.
Toutefois, la conformité au RGPD passe par l'éducation de tous les employés d'une entreprise. Afin de former vos équipes aux principes du RGPD et aux dangers de la cybersécurité, choisissez Cyber University !