Concepts clés de la RGDP
La RGPD (Réglementation Général sur la Protection des Données) est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Ce réglement, entré en vigueur le 25 mai 2018, améliore la protection des personnes concernées par un traitement de leurs données à caractère personnel.
Une donnée est considérée comme à caractère personnel quand celle-ci est susceptible d’identifier, directement ou indirectement, une personne physique. Nous pouvons prendre comme exemple, les documents ou photos d’identités, le nom ou le prénom comme identification direct et les empreintes digitales, une adresse IP, un numéro de téléphone comme identification indirect.
De plus, l’identification peut se faire à partir d’une seule donnée ou par le regroupement de plusieurs. Pour l’identification par regroupement, nous pouvons citer l’exemple suivant: un homme vivant à telle adresse, né tel jour et faisant partie de telle association. Le regroupement de toutes ces informations peuvent permettre d’identifier la personne concernée.
Qui est concerné par la RGPD ?
La RGPD s’applique à toute organisation, publique ou privée, qui traite des données personnelles pour son compte ou non, dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.
Nous pouvons prendre deux exemples pour expliciter ces deux situations :
- Une entreprise établie en Allemagne qui exporte des lunettes en Afrique du sud devra respecter la RGPD.
- Une entreprise canadienne qui vend des logiciels de sécurité informatique à ses clients espagnols devra également respecter la RGPD pour ceux-ci.
Evidemment, les échanges impliquants deux entreprises membres de l’Union européenne doivent aussi respecter la RGPD.
Quel est le montant des amendes RGPD en cas de non-conformité ?
Les entreprises soumises à ce réglement mais qui ne le respectent pas peuvent être sujettes à des sanctions très importantes.
Les sanctions peuvent aller d’un simple rappel à l’ordre sans conséquence à une amende de 20 millions d’euros ou 4% du chiffre d’affaires mondial (le montant le plus important sera retenu). D’autres sanctions peuvent êtres appliquées comme, limiter temporairement ou définitivement le traitement d’une donnée ou encore suspendre le flux de donnée. Il est important de noter que les entreprises sanctionnées ainsi que le montant de l’amende reçu peuvent être rendus publics, ce qui peut nuire gravement à leur réputation.
Retour sur l’année 2020
L’année 2020 vient de se terminer et on peut dire qu’elle est riche en sanctions.
Tout d’abord, le montant total des amendes pour cette année 2020 s’élève à plus de 306 millions d’euros.
De plus, nous pouvons dire que l’Espagne est le pays qui a le plus sanctionné (128), suivi par l’Italie (34) et la Roumanie (26). La France est le pays dont le montant total des sanctions est le plus important (138 309 000 €).
Voici le classement des entreprises qui ont subi les sanctions le plus lourdes de l’année passée :
- Google LLC avec 60 millions d’euros
- Google Ireland avec 40 millions d’euros
- H&M avec plus de 35 millions d’euros
- Amazon europe avec également 35 millions d’euros
- TIM avec 27,8 millions d’euros
Source: https://finbold.com/gdpr-fines-2020/
A titre d’information, Google LLC a généré en 2019 un chiffre d’affaires (CA) de plus de 133 milliards d’euros, l’amende de 60 millions d’euros, si elle avait eu lieu l’année dernière, n’aurait représenté que 0,045% du CA et 0,4% des bénéfices.
Ces montants faramineux peuvent nous faire penser que seulement les grandes entreprises sont touchées par des sanctions. Ce n’est pas forcément le cas, en milieu de classement, nous pouvons trouver des universités, des municipalités, des hotels, etc. Enfin, en bas de classement pour l’année 2020, nous trouvons des amendes commençant à 48 € concernant des entreprises individuelles par exemple.
Comme nous pouvons le voir toutes les entreprises, quelque soit leur secteur ou leur taille, peuvent être frappées par des sanctions si elles ne respectent pas les règles de la RGPD.
Quelles devraient être vos prochaines étapes de mise en conformité RGPD ?
Pour commencer avec la RGPD et éviter les sanctions mentionnées précédemment, il convient de suivre 4 bonnes pratiques générales :
Inventorier vos données
De manière à être en accord avec la RGPD, vous devez posséder un registre des données. Celui-ci doit comporter à minima, l’objectif (la finalité) de cette donnée, la catégorie de donnée, l’accessibilité de cette donnée (qui peut y accéder et pourquoi ?) et la durée de conservation de cette donnée.
Trier vos données
La RGPD met en avant le fait que chaque donnée doit être collectée dans un but précis et nécessaire au fonctionnement de l’activité de l’entreprise. Le fait de supprimer les données non nécessaires ou obsolètes va permettre de diminuer le traitement de celles-ci et par conséquent réduire voire supprimer certaines tâches et coûts.
Respecter les droits des personnes
Les individus dont les données sont traitées doivent être informés concernant la raison de la collecte, ce qui autorise à le faire, l’accès à ses données, la durée de détention et la modalité des individus pour exercer leurs droits.
Concernant ce dernier point, il est nécessaire pour l’entreprise de mettre tout en oeuvre pour simplifier l’exercice de leurs droits aux personnes dont les données sont traitées (droits à l’information, à l’opposition, à l’accès et à la rectification et enfin à la suppression.
Sécuriser les données
La sécurisation des données est un domaine très large et n’est pas limité au chiffrement des données. Il serait difficile de dire ici quelles sont les mesures à prendre, celles-ci peuvent grandement varier en fonction de l’entreprise et des données traitées.
Néanmoins, quelques règles générales communes à toutes les entreprises peuvent être appliquées comme :
- La mise à jour de l’anti-virus et des différents logiciels utilisés
- L’utilisation de mots de passe forts avec un changement régulier
- La mise en place de sauvegardes régulières des données
De plus, nous pouvons citer quelques règles concernant les données :
- Le chiffrement et/ou l’anonymisation des données sensibles
- Le contrôle des droits d’accès
Pour résumer
De nombreuses règles régissent la mise en place de la RGPD. Son implémentation peut être fastidieuse et doit être personnalisée en fonction de l’entreprise et des données qu’elle traite.
Néanmoins, une implémentation en bonne et due forme augmentera l’efficience de vos traitements et vous mettra à l’abbri de possible lourdes sanctions.