Êtes-vous concerné par le RGPD 2018 ?
“A l’aube du printemps 2018, vous allez peut-être devoir vous mettre rapidement en conformité avec le nouveau règlement européen. Le RGPD 2018 est désormais applicable pour chaque structure exploitant des données personnelles. Mais comment savoir si votre structure est concernée ? CIL, CNIL, DPO… qui sont ces acteurs et à qui s’adresser ? Voici quelques clarifications sur le RGPD 2018 et les structures concernées.“
Qu’est-ce que le RGPD 2018 ?
Pour répondre aux problématiques apparues avec le développement fulgurant du numérique, l’UE passe à l’action avec l’application du RGPD, le Règlement Général sur la Protection des Données. Ce texte vise essentiellement à unifier la réglementation européenne en matière de protection des données personnelles.
Le RGPD 2018 comporte trois objectifs principaux :
renforcer le droit des personnes, responsabiliser les parties concernées et optimiser la régulation européenne en la matière.
Le premier point vise essentiellement à conférer aux utilisateurs une plus grande maîtrise de leurs données personnelles. Les notions de consentement, de droit des personnes et de respect de la vie privée sont en effet au cœur des principes du RGPD. Du côté des structures, cela implique une gestion des données permettant de garantir le respect des droits et des libertés des personnes physiques.
Le second volet permet d’instaurer une obligation de transparence et de traçabilité chez les responsables de traitement des données et leurs sous-traitants. Ce point du RGPD doit conduire les structures traitant des données personnelles à se responsabiliser et à revoir leurs processus de traitement. Les données sont-elles collectées dans un but légitime ? Les pratiques des entreprises entourant le traitement des données sont-elles transparentes et licites ? Autant de questions que devront désormais se poser les structures concernées par le traitement de données.
Enfin, le troisième axe vise à instaurer une coopération renforcée entre les différentes autorités en charge de la protection des données. Avec le numérique, les frontières géographiques s’effacent et l’Europe se doit désormais de légiférer harmonieusement. Dans le contexte du RGPD 2018, les décisions et les sanctions prises dans le domaine de la protection des données personnelles sont communes. Cet axe du RGPD répond à une volonté d’efficience, mais aussi de crédibilité.
CNIL, DPO, CIL… Qui sont les acteurs du RGPD 2018 ?
La CNIL, Commission Nationale de l’Informatique et des Libertés, est le grand régulateur français dans le monde du numérique. Pour faire simple, la CNIL représente le RGPD à titre d’autorité de contrôle. Dans le cadre du nouveau règlement européen, son rôle est appelé à évoluer pour laisser plus d’autonomie à de nouveaux acteurs.
A l’origine, le CIL, Correspondant Informatique et Liberté, a pour mission de faire le lien entre les structures concernées par le RGPD et la CNIL. Le DPO (Data Protection Officer) lui succède désormais, avec plus de responsabilités et de missions dans un souci de responsabilisation des structures.
Le DPO hérite des missions du CIL, mais dispose de prérogatives renforcées. Il est responsable du contrôle de la gestion des données, doit respecter des valeurs éthiques et pouvoir exercer son rôle en toute indépendance. Véritable continuateur de la CNIL, il ne lui incombe pas d’appliquer les pratiques essentielles pour mettre une structure en conformité avec le RGPD, mais de vérifier cette bonne application. Au besoin, il doit pouvoir coopérer pleinement avec la CNIL et faciliter le travail de contrôle de celle-ci.
Qui est concerné par le RGPD 2018 ?
Toutes les structures exploitant des données personnelles sur le territoire de l’UE doivent se mettre en conformité avec le RGPD 2018.
A titre d’exemples, il peut s’agir d’entreprises de vente en ligne comme de structures « hors ligne », de TPE comme de grandes entreprises et de services publics comme d’entreprises privées.
Inutile de vous demander trop longuement si vous êtes concerné par ce nouveau règlement : il est fort probable que oui ! Le panel de structures concernées est extrêmement vaste, et si vous collectez des données personnelles sur vos clients, vos salariés, ou toute autre personne, n’attendez plus pour vous mettre en conformité ! Et ce, même si vous sous-traitez la gestion de ces données.