Protection des données (GDPR) : ce qui vous attend en 2018

Actuellement, peu d’entreprises jouent vraiment le jeu du respect des données privées, faute de sanction à la clé. L’enjeu de la nouvelle Réglementation Générale encadrant la Protection des Données personnelles (« RGPD » ou son acronyme anglais « GDPR») est de renforcer la protection des individus vis-à-vis de leurs données personnelles et d’instaurer des rapports de confiance entre particuliers et entreprises. Qu’est-ce qui va changer avec ce texte qui entrera en vigueur en 2018 ? Pour les entreprises, à peu près tout. Décryptage.

A compter de mai 2018, les organismes de contrôle des données personnelles (la Cnil en France) pourront sanctionner les entreprises ne respectant pas les nombreuses règles imposées par ce texte. A la clé : une amende pouvant aller jusqu’à 4 % du chiffre d’affaires.

GDPR : les principaux changements pour les entreprises

1. La protection des données devient la règle incontournable
Les entreprises doivent l’intégrer dans le cahier des charges de tout projet utilisant des données personnelles et garantir le respect des normes de sécurité sur l’ensemble du cycle de vie des données collectées.

2. Le consentement des usagers
Terminé le spam et les pratiques abusives ou peu claires. L’entreprise devra désormais obtenir l’accord explicite des personnes (et pouvoir en apporter la preuve) avant de pouvoir faire usage de leurs données personnelles, que ce soit pour un démarchage commercial, une campagne d’emails marketing, la revente à des tiers ou une analyse des données.

3. Le droit à l’oubli
A compter de mai 2018, l’entreprise devra s’engager à supprimer toutes les données d’un particulier qui en ferait la demande dans un délai de…30 jours !

4. La portabilité des données
Similaire à la portabilité du numéro de téléphone qui permet au particulier de converser son numéro de téléphone même s’il change d’opérateur ou de contrat, la portabilité des données impose aux entreprises de mettre à disposition des personnes qui le demandent leurs données personnelles.

La nomination d’un responsable de la protection des données. Enfin, le nouveau règlement impose aux entreprises traitant les données à grande échelle la nomination d’un délégué à la protection des données ou « data privacy officer » (DPO). Ce dernier sera chargé de garantir la bonne application de la loi GDPR dans l’entreprise.

C’est un véritable bouleversement pour l’entreprise, invitée à repenser entièrement son système de gestion des données personnelles, avec toute la complexité que cela suppose en termes de processus et de SI.

Imaginez : dès mai 2018, l’entreprise devra être capable d’assurer la suppression, la restitution ou le transfert des données personnelles et ce de manière individualisée et quasi instantanée. Elle devra avoir mis en place une gestion irréprochable des consentements des personnes pour aller dans le sens d’une plus grande transparence voulue par la loi.

Un défi majeur qui ne sera pas sans poser de problèmes aux entreprises qui n’auront pas su s’y préparer à temps.

Séverine Ghys

Consultante au sein de la direction marketing Orange Business Services, auteur du livre blanc « Les applications mobiles, accélérateur de votre business », spécialiste en design thinking et storytelling, j’ai créé l’agence digitale WebRédacteurs en 2000.

Ses réseaux sociaux:
https://fr.linkedin.com/in/severineghys