RGPD


Le Règlement général sur la protection des données (RGPD) est un règlement de l'Union européenne veillant à réguler et à uniformiser le stockage et le traitement des données à caractère personnel. En sont concernés les entreprises et institutions, mais aussi les exploitants de sites Web basés dans l'Union européenne. Le RGPD est entré en vigueur le 25 mai 2018.

Contexte[modifier]

Déjà dans les années 1970, des premiers efforts avaient été consentis dans l'UE pour assurer une protection commune des données personnelles et de la vie privée des consommateurs. En 1995, la directive 95/46/CE concrétisait en fin de compte un règlement commun en ce sens. Sa mise en œuvre relevait toutefois de la responsabilité de chaque État membre.

En 2018, le RGPD a été instauré comme règlement contraignant pour tous les pays membres de l'UE.

Champ d'application[modifier]

Le Règlement général sur la protection des données de l'UE s'applique dans tout l'espace de l'Union, à toutes les entreprises ayant leur siège social dans l'UE. En outre, les entreprises provenant d'autres pays doivent aussi s'en tenir au RGPD dans la mesure où elles traitent les données des citoyens de l'Union et gèrent au moins une filiale dans un pays de l'UE.

Que représentent les données à caractère personnel selon le RGPD ?[modifier]

Font partie des données à caractère personnel selon le RGPD les informations suivantes. Elles permettent d'identifier une personne, par exemple lorsque diverses données peuvent être attribuées à un numéro ou à une localité.

  • Nom
  • Adresse
  • Adresse e-mail
  • Numéro de téléphone
  • Date de naissance
  • Coordonnées bancaires
  • Plaque d'immatriculation
  • Données sur l'emplacement de l'utilisateur, les adresses IP et les cookies

Entités responsables en cas de violation de la protection des données[modifier]

En cas de violation avérée de la protection des données par un exploitant de site Web ou par une boutique en ligne, le principe du « one stop shop » ou du « guichet unique » s'applique selon le RGPD. Ce principe permet aux citoyens de l'Union de s'adresser directement aux autorités en charge de la protection des données de leur pays, indépendamment de l'endroit où l'infraction à la protection des données a eu lieu. Pour les entreprises, le principe du one stop shop revêt un avantage en ce sens qu'elles aussi ne doivent travailler qu'avec une entité responsable de la protection des données. Normalement, il s'agit de l'autorité en charge de la protection des données du pays où se trouve leur siège social.

Le Délégué à la protection des données selon le RGPD[modifier]

Suite à l'introduction du RGPD, certaines entreprises ont l'obligation de désigner un Délégué à la protection des données (DPD). Le Délégué à la protection des données peut être désigné au sein de l’entreprise ou exercer en externe.

La présence d'un Délégué à la protection des données est impérative dans les cas suivants :

  • Plus de neuf collaborateurs s'occupent du traitement automatisé des données à caractère personnel. Qu'ils le fassent en tant que travailleurs freelances ou en tant qu’employés n’a pas d’importance. Il y aurait obligation par exemple lorsque plus de neuf collaborateurs ont accès aux données provenant de Google Analytics ou d'autres outils d'analyse Web.
  • Les données traitées sont particulièrement sensibles parce qu'elles permettent de tirer des conclusions sur l'ethnie, les préférences politiques ou l'état de santé. La catégorie est définie dans l'article 9 du RGPD. Par exemple, cela peut être le cas lorsqu'une entreprise propose des applis de fitness qui collectent des infos liées à la santé ainsi que des données personnelles.
  • La mission principale du responsable englobe la surveillance étendue, régulière et systématique des personnes concernées. Cette clause touche particulièrement les entreprises dont l'activité principale consiste à traiter des données à caractère personnel. À titre d'exemple : les bureaux de renseignements tout comme les analystes dans le domaine du Big Data.

Indépendamment du devoir de le faire, les entreprises peuvent aussi désigner de plein gré un Délégué à la protection des données. Après tout, la tâche du Délégué à la protection des données consiste à faire respecter la protection des données et à tenir le fameux « registre d'élaboration ». En outre, le DPD sert d'interlocuteur pour les clients qui ont des questions en rapport avec le stockage de leurs données personnelles. À cet effet, il n'a pas besoin d'une formation spéciale mais doit, en cas de doute, pouvoir justifier qu'il possède le savoir pratique exigé pour cette tâche.

Registre d'élaboration selon le RGPD[modifier]

Conformément au RGPD, les entreprises sont, dans la plupart des cas, obligées de tenir un « registre d'élaboration ». Il s'agit d'un registre en papier ou électronique dans lequel on documente le stockage des données à caractère personnel. On peut citer, par exemple, le but du traitement des données, les catégories de personnes ou le transfert des données à des fournisseurs basés dans des pays tiers hors de l'UE. En plus, le registre d'élaboration contient les délais de suppression pour les données stockées en fonction des catégories de données.

Le registre n'est pas d'accès public mais peut être présenté sur demande des autorités chargées de la protection des données.

D'emblée une nouvelle positive : le registre des procédures / registre d'élaboration. Théoriquement, les entreprises ne sont obligées de tenir ce genre de registre que si elles disposent p. ex. d'un effectif de plus de 250 collaborateurs ou si elles remplissent d'autres critères. Toutefois, les sociétés ont aussi l'obligation d'établir un registre des procédures dont le traitement des données ne s’effectue « pas uniquement par occasions ». Ainsi, toutes les entreprises doivent théoriquement tenir un registre faisant l'analyse Web chaque jour. Toutes les boutiques en ligne et petites entreprises seraient, du coup, concernées par ce règlement.

Amendes éventuelles en cas d'infraction au RGPD[modifier]

Les infractions au RGPD sont passibles de lourdes amendes. Celles-ci peuvent aller jusqu'à 20 millions d'euros ou jusqu'à quatre pour cent du chiffre d'affaires mondial de l'exercice précédent. Le niveau élevé de peine encourue est une des modifications apportées à la protection des données et qui vont être mises en œuvre avec le RGPD. Comme jusqu’à présent, des avertissements peuvent aussi être infligés en cas d'infraction.

Critique au règlement[modifier]

L'application du RGPD a suscité de vives critiques en plusieurs lieux. De nombreux webmasters, ne pouvant pas apprécier les conséquences des règlements et redoutant des avertissements coûteux, ont cessé leur activité de publicité. Même des entreprises de médias américaines ont réagi à l'arrivée du RGPD et ont, immédiatement après son entrée en vigueur, arrêté en partie de fournir leurs services en Europe.

Un autre point de critique considérable est le suivant : bien que le RGPD doive en fait assurer une simplification de la protection des données au sein de l'UE, le corpus de lois a semé du chaos en raison de plusieurs cas encore non clarifiés. Car les webmasters, les entreprises ainsi que les boutiques en ligne ne peuvent pas se fier à des méthodes claires et risquent, dans le pire des cas, de lourdes amendes. Certains critiques vont même à penser que l'Internet gratuit va prendre fin avec le droit de la protection du droit d'auteur.

Signification pour le marketing en ligne[modifier]

L'entrée en vigueur du Règlement général sur la protection des données de l'UE a un impact sur tous ceux qui travaillent avec les données à caractère personnel. Cela a des conséquences directes pour le marketing en ligne. Dans le cadre du marketing par email, par exemple, les annonceurs doivent veiller à ce que le consentement pour l'envoi de newsletters et mails leur soit disponible. Il en va de même lorsqu'il faut pouvoir établir par analyse Web la manière dont les données peuvent être traitées.

En principe, tous les concernés doivent s'attendre à plus d'investissements en temps et en coûts pour les différentes actions marketing à entreprendre.

Liens web[modifier]