Introduction
Le règlement général sur la protection des données, ou « RGPD », est un règlement européen qui vise à renforcer et harmoniser la protection des données et la vie privée tant au sein de l’Union européenne (UE) que dans l’ensemble de l’Espace économique européen (EEE). Élaboré par la Commission européenne, il inclut un ensemble de législations normalisées dont le but est de protéger les données à caractère personnel de tous les citoyens européens. Par ailleurs, le RGPD règlemente également le transfert des données personnelles en dehors de l’UE et de l’EEE.
Le RGPD a été adopté pour la première fois en 2016, puis est entré en vigueur deux ans plus tard. Étant donné que le RGPD est un dispositif réglementaire et non une directive, il fait force de loi dans tous les États membres de l’UE depuis mai 2018. En tant que nouveau cadre règlementaire visant à protéger les données personnelles et établir des règles pour les entreprises, il concerne toutes les organisations, entreprises et personnes physiques au sein de l’EEE. Par conséquent, il établit des règles claires sur la façon dont les entreprises doivent traiter et stocker les données personnelles des personnes physiques.
Le RGPD et ses implications pour les entreprises
Étant donné que la protection des données personnelles est le principal cheval de bataille du RGPD, les citoyens européens ont une meilleure idée de ce que les entreprises font de leurs informations. Par conséquent, les clients des sites en ligne sont de plus en plus conscients de leurs droits. Les entreprises doivent dès lors atteindre le niveau de transparence imposé par les nouveaux règlements. Si votre entreprise traite des données personnelles et opère au sein de l’UE, vous avez l’obligation de respecter le RGPD. Plus facile à dire qu’à faire.
Certes, la normalisation introduite par le RGPD dans le monde des entreprises numériques comporte de nombreux avantages, mais son application peut s’avérer difficile pour les sociétés qui manquent de préparation ou de connaissances. Par ailleurs, la complexité et la qualité de leurs données peuvent compliquer la transition vers un nouveau mode de fonctionnement. À l’heure actuelle, de nombreuses entreprises ne respectent pas encore toutes les exigences du RGPD et s’exposent dès lors à de lourdes sanctions.
Pour se conformer pleinement au RGPD, les entreprises doivent prendre tout un lot de mesures complexes, qui peuvent comprendre une refonte de leur politique de confidentialité, un nettoyage des listes de distribution de leurs bulletins d’information ou une révision des modes d’utilisation des cookies et plug-ins. Les problèmes se posent surtout au début lorsque l’incertitude juridique ralentit le processus ou prête à confusion. Pour obtenir l’onéreuse expertise dont elles auront probablement besoin, les entreprises n’ont d’autre choix que d’augmenter leur budget consacré à la sécurité des données.
Les grands changements apportés par le RGPD
Le RGPD a bouleversé le paysage des entreprises numériques, notamment sur le plan de la transparence et du consentement des usagers par rapport à la collecte de données personnelles. Voici une liste non exhaustive des principaux changements que doit prendre en compte chaque entreprise qui fait affaire avec des citoyens européens
Article 3 du RGPD : Champ d’application territorial
Ce nouveau règlement s’applique au traitement des données à caractère personnel par les entreprises opérant au sein de l’UE, que le traitement ait lieu ou non dans l'Union. C’est ainsi que le législateur souhaite garantir la protection totale des données et un certain degré d’équité.
Article 7 du RGPD : Conditions applicables au consentement
Les entreprises ne peuvent plus se cacher derrière des conditions générales opaques lorsqu’elles traitent des données personnelles. Elles doivent ainsi obtenir le consentement de la personne concernée tout en présentant leur demande de façon claire en utilisant un langage simple et accessible.
Article 33 du RGPD : Notification à l'autorité de contrôle d'une violation de données à caractère personnel
Aussi strictes soient les mesures prises en matière de sécurité des données, des violations de données ne sont pas à exclure. Si les droits et libertés des personnes sont menacés, une entreprise doit agir dans les 72 heures après avoir pris connaissance d’une violation de données et notifier l’autorité de contrôle.
Article 15 du RGPD : Droit d’accès de la personne concernée
La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées, et notamment les informations suivantes : nature des données, finalité du traitement, durée de conservation des données, destinataires auxquels les données seront communiquées, etc.
Article 17 du RGPD : Droit à l’effacement ou « droit à l’oubli »
La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant. Ceci s’applique, entre autres, lorsque les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ou lorsque les données ont fait l’objet d’un traitement illicite.
Article 20 du RGPD : Droit à la portabilité des données
Lorsque les personnes concernées partagent des données à caractère personnel, elles ont le droit de recevoir ces données dans un format structuré, couramment utilisé et lisible par machine. L’entreprise ou le responsable doit faire en sorte que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre si la personne concernée en émet le souhait.
Article 25 du RGPD : Protection des données dès la conception et protection des données par défaut
Lors du traitement des données à caractère personnel, l’entreprise ou le responsable du traitement doit mettre en œuvre les principes relatifs à la protection des données, par exemple la pseudonymisation, la minimisation des données et d’autres mesures appropriées de nature technique et organisationnelle. Ces mesures garantissent que les données à caractère personnel sont correctement conservées.
Article 37 du RGPD : Désignation du délégué à la protection des données
Lorsque le traitement est effectué par une autorité publique ou si une organisation traite à grande échelle des catégories particulières de données, un délégué à la protection des données est nommé. Son rôle consiste à surveiller les données et à s’assurer que les mesures de protection des données sont mises en œuvre à l’aide d’une technologie de pointe.
Sanctions en cas de violation du RGPD
De lourdes sanctions sont prévues en cas de violation. Elles se divisent en deux catégories.
Amende : 10 000 000 euros ou 2 % du chiffre d’affaires annuel mondial, pour des infractions relatives aux domaines suivants :
- Consentement des enfants ;
- Traitement des données, sécurité, conservation, violation, notification de violation ;
- Transferts liés à des garanties appropriées et des règles d’entreprise contraignantes ; et
- Transparence des informations et communications.
Amende : 20 000 000 euros ou 4 % du chiffre d’affaires annuel mondial, pour des infractions liées aux domaines suivants :
En résumé, le RGPD doit être pris très au sérieux et chaque membre de votre entreprise doit connaître la marche à suivre pour garantir la conformité. Voici comment un architecte d’entreprise peut y contribuer.
LeanIX is now part of SAP
/EN/Reports/IT%20Sustainability%20Report-Thumbnail-780x546-EN.png?width=260&height=171&name=IT%20Sustainability%20Report-Thumbnail-780x546-EN.png)
/EN/White-Paper/Insight_Communication_Engagement_How_EA_Supports_Change_Management_EN-thumbnail.png?width=260&height=171&name=Insight_Communication_Engagement_How_EA_Supports_Change_Management_EN-thumbnail.png)
/EN/White-Paper/5-critical-steps-to-change-management-in-erp-transformation-thumbnail.png?width=260&height=171&name=5-critical-steps-to-change-management-in-erp-transformation-thumbnail.png)
/EN/White-Paper/Newsletter-Thumbnail%20IDC%20Final.png?width=260&height=171&name=Newsletter-Thumbnail%20IDC%20Final.png)
/FR/Poster/FR-Faster-Time-to-Value-Poster-Resource-Page-Thumbnail-1.png?width=260&height=171&name=FR-Faster-Time-to-Value-Poster-Resource-Page-Thumbnail-1.png)
/EN/Tools/EA-Maturity-Thumbnail.png?width=260&height=171&name=EA-Maturity-Thumbnail.png)
