Le RGPD (ou GDPR), une véritable révolution dans le traitement des données

RGPD ?

La commission européenne a publié une première ébauche de la réglementation européenne sur les données personnelles en janvier 2012.
Après quatre ans de discussions, le nouveau cadre de protection des données personnelles est finalement adopté le 8 avril 2016.
Le Règlement Général sur la Protection des Données (RGPD) prendra effet le 25 mai 2018. 

Champ d’application matériel : La RGPD traite des données personnelles.
Champ d’application territorial : Toutes les entreprises collectant les données personnelles de citoyens européens qu’ils résident en Europe
ou non sont assujetties aux dispositions de la réglementation RGPD. 

Les principes de la protection des données personnelles ont été révisés
mais sont relativement similaires à ceux édictés dans la directive 95/46/ EC :

1. Licéité, loyauté et transparence
2. Limitation des finalités (exception faite pour ‘les recherches scientifiques et études statistiques’ (art 89)
3. Limitation quant aux données collectées : elles doivent être ‘adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Exactitude : les données doivent être exactes et, si nécessaire, mises à jour
4. Durée de conservation des données : elles doivent être conservées pour le temps nécessaire à la réalisation de la finalité (exception faite pour ‘les recherches scientifiques et études statistiques’ (art 89) 
5. Intégrité et confidentialité : il faut une protection appropriée des données personnelles

Renforcer le droit à l’information (art. 13)

Le responsable de traitement doit fournir toutes les explications nécessaires sur l’utilisation qui sera faite des informations personnelles.

Le droit à l’oubli (art. 17)

Les individus peuvent exiger d’effacer leurs données quand il y a un problème avec la légalité du traitement ou lorsqu’ils retirent leur consentement.

Le droit à la portabilité des données (art. 20)

Le responsable de traitement doit organiser les informations sous une forme structurée, couramment utilisée et lisible sur les systèmes les plus courants (portabilité des données). En outre, le contrôleur (DPO) doit pouvoir transmettre les données directement à un autre contrôleur. La RGPD encourage les entreprises à développer des formats interopérables.

Le droit de s’opposer aux activités de profilage (art. 22)

Les individus ont le droit de s’opposer :

• Au traitement pour des motifs liés à sa situation particulière
• Au traitement qui est destiné à des fins de marketing direct

De nouvelles obligations pour les entreprises

Notification des failles de sécurité sous 72h (art. 33) 

• Obligation de notification dans les 72h (auprès de l’autorité nationale de protection ainsi qu’auprès des usagers concernés) dès lors qu’est constatée « une perte, altération ou divulgation de données personnelles qu’elle soit accidentelle ou illégale »
• Le non-respect de cette disposition peut donner lieu à une amende administrative pouvant atteindre 10 000 000 €, ou s’il s’agit d’un groupe mondial 2% du chiffre d’affaire annuel mondial du précédent exercice, selon lequel des deux montants est le plus élevé

Délégué à la protection des données (art. 37)

Il peut être décidé de nommer un Délégué à la protection des données (Data Protection Officer). Cette disposition est obligatoire pour les
organismes publics et les organismes privés dont les activités sont considérées comme sensibles. Les attributions du délégué à la protection des données sont a minima :

• S’assurer de la bonne application des textes relatifs aux données personnelles
• Conseiller au moyen de formations de sensibilisations et d’audits
• Coopérer avec l’autorité nationale de protection

Renforcement de la transparence et du consentement (art. 6 & 7)

• Les responsables des traitements doivent informer les personnes de la collecte de leurs données. La note d’information doit être transmise lors de cette collecte 
• L’information doit être délivrée de manière claire et dans un format accessible
• Le consentement doit être libre, spécifique, éclairé et non équivoque (il ne peut être implicite). Les mentions relatives au consentement doivent être distinctes des autres mentions légales, rédigées dans un niveau de langage simple et clair. Les personnes  concernées doivent pouvoir facilement se rétracter à tout moment

La protection des données depuis la conception (art 25) et responsabilité (art 5)

En lieu et place des formalités préalables effectuées auprès de l’autorité de protection des données, la RGPD demande à chaque entreprise d’être en mesure de démontrer que le traitement des données respecte le cadre légal.
Les entreprises doivent adopter des mesures techniques et organisationnelles significatives en vue de démontrer leur conformité aux dispositions de la RGPD.

Conséquences pour les études de marché

Ipsos a lancé un programme de confidentialité de données lié à la conformité du RGPD.
Le RGPD codifie de nombreux principes sous-tendus dans le Code ICC / ESOMAR (notamment sur la collecte du consentement et les conditions applicables aux enfants)
Cadre spécifique pour la recherche scientifique et les fins statistiques (art. 89).
Impacts sur l’avis de confidentialité (questionnaire, outils).

"Parlons expérience client"

Découvrez le dernier-né de nos livres blancs réalisé en collaboration avec nos clients. Contactez-nous avec le formulaire ci-dessous pour recevoir une version pdf.