RGPD: Le point sur la situation

0

Le Règlement Général sur la Protection des Données (RGPD), est plus communément connu sous la terminologie anglaise acronyme General Data Protection Regulation (GDPR).

Il est au cœur de toutes les stratégies numériques et cet article traite des changements majeurs concernant cette réglementation, les précautions à prendre et les causes qui ont mené à ce nouveau règlement. Le RGPD est destiné à réguler et protéger les données à caractère personnels. C’est un texte de référence au sein de l’Union Européenne : il vient harmoniser et compléter les lois existantes dans les différents pays de l’UE.

Retour sur quelques faits

Depuis sa création en 1995 sous le nom de « directive sur la protection des données personnelles » jusqu’aujourd’hui en 2018, certaines modifications majeures se sont progressivement imposées, compte tenu de la modernisation du monde, l’avancée des  nouvelles technologies et l’essor du numérique en général. Et c’est après 4 années de négociations, que la nouvelle version du Règlement Général sur la Protection des Données prendra effet, le 25 mai 2018 avec comme objectif : « renforcer la confiance numérique des citoyens qui n’avaient plus de contrôle sur leurs données personnelles ». Ainsi à partir du 25 mai, tous les pays de l’Union Européenne devront respecter les 99 nouvelles directives du RGPD.

 

Champ d’action

Les principaux acteurs concernés par le RGPD sont les entreprises et les administrations. En effet, il se trouve qu’elles détiennent un bon nombre d’informations personnelles sur leurs employés, clients, collaborateurs/partenaires ou leurs prospects, dans leur base de données.

Il n’est plus question d’obéir à certaines préconisations et d’afficher une mention pour les entreprises : elles doivent dorénavant montrer qu’elles mettent tout en œuvre pour respecter cette règlementation et ce à tout moment : dans leur gouvernance, politique interne et leurs actions. Elles peuvent être amenées n’importe quand à prouver qu’elles respectent parfaitement le règlement. Elles doivent également indiquer de manière claire aux personnes concernées ce qu’elles comptent faire de leurs données pour obtenir leur consentement.

Le RGPD s’appliquera non seulement à tous les États-membres de l’Union européenne, mais également à toute structure juridique (également les sous-traitants), partout dans le monde, dès lors qu’elle proposera un service impliquant le traitement des données personnelles de résidents européens.

 

Grandes lignes

Voici ce qui est défini par « données à caractère personnel » dans le RGPD: « Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification (numéro de sécurité social), des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale […] »  [Article 4]

 

Sécurité, traçabilité, portabilité.

 

Ces trois mots devront être applicables aux données personnelles relatives à votre entreprise. Il vous faudra dans un premier temps savoir où sont stockées ces données (car oui, certaines entreprises n’ont pas conscience de détenir de telles données) et par la suite établir un plan d’action afin de garantir leur sécurité de manière optimale (grâce à un système d’anti-intrusion). Enfin, ces données devront être retranscrites dans un registre des activités de traitement [Article 30], et doivent être assurées par un système de sauvegarde/restauration en cas de perte de celles-ci.

[L’Article 32 – B ] Stipule : « Au 25 mai 2018, toute entreprise ou organisation touchant de près ou de loin aux données personnelles des résidents de l’Union européenne — c’est-à-dire par exemple aux données liées aux salariés, clients, prospects ou encore aux utilisateurs d’un service — devra mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir notamment « la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».

Il s’agira dans un premier temps de garantir un droit d’accès aux données aux personnes concernées, un droit de rectification à la demande, un droit d’effacement (ou d’oubli) également. Ensuite penser à la minimisation des données (trier les données pertinentes et abandonner celles qui ne le sont pas), assurer la sécurité, la protection (limiter l’accès uniquement aux personnes concernées, donc la personne en question et certains membres de l’entreprise / administration) et la portabilité des données (assurer la possibilité de transfert de données et les répertorier dans un registre avec la source, le contexte et l’objectif du stockage de ces données). Il convient également de faire comprendre aux personnes concernées de façon claire et précise, la finalité des informations qu’elles vous donnent.

Enfin, la date de destruction doit être respectée (deux chemins sont possibles : la CNIL impose la suppression des données personnelles 2 ans après le dernier contact avec cette personne, ou bien sous demande de celle-ci) ou bien avoir l’accord écrit de la personne notifiant le maintien du stockage de ses données.

 

Quelles sanctions ?

Les entreprises défaillantes lors d’un contrôle de conformité au RGPD risqueront des sanctions allant de 10 à 20 millions d’euros ou de 2 à 4 % de leur chiffre d’affaires annuel.

 

Pourquoi une telle réglementation ?

Le RGDP n’est pas une règlementation destinée uniquement à priver les entreprises de leurs agissements. La mise à jour des directives était en effet inévitable premièrement au vu de l’avancée technologique et la naissance de nouveaux processus pouvant entraver la vie privée des citoyens comme précisé plus haut ; Mais également nécessaire, suite à plusieurs constatations majeures : la hausse considérable des cyberattaques (à titre informatif, trois cyberattaques mondiales ont été recensées aux alentours de Mai 2017 : WannaCry, Adylkuzz et NotPetya). Également, le cabinet d’étude [PWC] estime à 177,300 le nombre de cyberattaques quotidiennes à travers le monde. Compte tenu de ces chiffres alarmants et ne cessant de grimper de jour en jour, il est normal d’imposer de plus en plus de mesures de sécurité mais surtout, face à la négligence des entreprises : deux sociétés sur trois consacrent moins de 5% de leur budget IT  à la sécurité de leurs données.

Le but du RGPD n’est donc pas de contraindre mais de sensibiliser et de responsabiliser les entreprises face aux éventuelles menaces et l’utilisation malveillante de leurs données.

Il y a néanmoins pas mal d’aspects positifs à ces nouvelles dispositions : des entreprises plus sécurisées et transparentes suscitent l’attention des consommateurs. De nouveaux argumentaires peuvent être désormais déployés, concernant la conformité au règlement, la transparence et la sécurité.

L’un des avantages notables qu’auront les entreprises grâce au RGPD est le gain de confiance. Ce gain de confiance passe par la transparence dans la relation entre entreprises et clients, et permettra l’expansion de la marque employeur de l’entreprise. Également, le sentiment de sécurité véhiculé par les nouvelles directives inciteront les consommateurs à utiliser plus souvent certains processus, tels que les paiements en ligne.

 

Et ScopTalent dans tout ça ?

Sachez que notre logiciel de recrutement ScopTalent couvrira l’ensemble des directives du RGPD. Nous répondons d’ores et déjà à la plupart des règlements inscrits, et nous seront totalement conformes d’ici mai 2018. Recruteurs, dirigeants, n’oubliez pas de vous équiper d’un outil afin de traiter et gérer vos candidatures. ScopTalent est un logiciel de recrutement permettant de recruter de manière plus simple, instinctive et fluide. N’hésitez pas à consulter notre [présentation] pour plus d’informations.

Retrouvez l’intégralité des textes officiels de la GDPR en cliquant sur [ce lien].

Laisser un commentaire

A propos

ScopTalent est un logiciel de recrutement édité par la start-up ScopLab.