RGPD : de nouvelles contraintes sur l’entreprise

Alors que chacun répand les données de sa vie personnelle sur les réseaux sociaux, on demande paradoxalement aux entreprises de protéger les données personnelles qu’elles peuvent récolter. Est-ce vraiment leur rôle ?

Partager sur:
Sauvegarder cet article
Aimer cet article 0

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

RGPD : de nouvelles contraintes sur l’entreprise

Publié le 28 février 2018
- A +

Par Benoît Roch.

Le RGPD (Règlement Général sur la Protection des Données) entrera en vigueur dans les États de l’Union Européennes le 25 mai 2018. Adopté par le Parlement Européen le 14 avril 2016, après 4 années de négociations législatives, ce texte remplacera la Directive de 1995 sur la protection des données personnelles. Il a pour ambition d’unifier et de renforcer la protection des données pour les individus au sein de l’UE.

Quel est l’objectif affiché ? À en croire l’UE, ce nouveau règlement veut rendre aux citoyens le contrôle de leurs données personnelles, en simplifiant l’environnement règlementaire des entreprises. Les principales dispositions font apparaître des points positifs : l’harmonisation du cadre réglementaire, l’application extraterritoriale, le droit à l’effacement (sorte de version allégée du droit à l’oubli), des principes de sécurité par défaut, mais aussi le droit à la portabilité ou le profilage.

Portabilité et profilage

Arrêtons-nous un instant sur ces deux derniers points. La portabilité permet à une personne de récupérer les données la concernant, traitées par un organisme, pour son usage personnel, et de les stocker sur le support de son choix. Elle permet aussi de transférer ses données personnelles d’un organisme à un autre. De son côté, le profilage consiste à traiter de façon automatisée les données à caractère personnel, et à les utiliser pour évaluer certains aspects d’une personne (pour analyser – par exemple – son rendement au travail, sa situation économique ou sa santé, ses préférences personnelles, etc…). Le RGPD obligera les entreprises à informer les personnes concernées par un profilage, lesquels disposeront d’un droit de s’opposer, selon des conditions particulières.

Enfin la mesure la plus emblématique concerne la nomination d’un délégué à la protection des données, le DPO (Data Protection Officer), selon des conditions définies, pour assurer le respect de l’ensemble des obligations dans le développement de nouvelles technologies, s’assurer de la conformité d’une technique impliquant la prise de décision automatisée, et faire le lien avec l’autorité de contrôle.

De nouvelles obligations pour les entreprises

Il ne s’agit pas ici de dresser un catalogue des nouvelles mesures, ni de se pencher sur l’analyse des procédures, mais de s’interroger sur la pertinence de ces nouvelles obligations à la charge des entreprises, au regard des sanctions encourues. D’importantes amendes administratives sont prévues, selon la catégorie de l’infraction, jusqu’à 20 m€ ou jusqu’à 4% du chiffre d’affaires mondial de l’entreprise.

La CNIL tient à rassurer, en précisant que les sanctions seront encadrées, graduées et renforcées par rapport à la Loi Informatique et Libertés. Les autorités de protection pourront tout d’abord prononcer un avertissement, puis mettre en demeure l’entreprise de se placer en conformité. La suspension des flux de données hors UE pourra aussi être suspendue, ainsi que la limitation temporaire ou définitive d’un traitement.

Au regard de ces nouvelles mesures, on peut légitiment se poser plusieurs questions. Quel sera le sort des données non automatisées ? Les salariés pourront-ils s’opposer à l’utilisation de leurs données ? Les clients auront-ils le pouvoir d’empêcher le développement d’un projet d’entreprise ? On devine à travers ces interrogations que le champ d’application du RGPD est plus complexe qu’il n’y paraît à première vue Qui doit être nommé DPO ? Faut-il externaliser la fonction ? Quel sera son coût pour une PME ? À ce jour, les réponses sont loin d’être évidentes. Quel est le temps à passer pour se mettre en conformité ? Quelles sont les protections juridiques efficaces à mettre en place ? Qu’en sera-t-il de la responsabilité pénale du chef d’entreprise ?

On veut bien croire à la clémence de la CNIL, dans un premier temps, mais celle-ci n’a aucune autorité sur le juge pénal. Une fois de plus, de nouveaux coûts et de nouveaux risques vont peser sur les PME, qui ont déjà du mal à se mettre en conformité avec l’inflation des normes dans tous les domaines.

Alors que chacun répand les données de sa vie personnelle sur les réseaux sociaux, on demande paradoxalement aux entreprises de protéger les données personnelles qu’elles peuvent récolter. Est-ce vraiment leur rôle ?

Une chose est sûre, le choc de simplification annoncé n’est toujours pas d’actualité.

Benoît Roch est président de l’Institut pour le Travail en Europe.

Voir les commentaires (4)

Laisser un commentaire

Créer un compte Tous les commentaires (4)
  • le RGPD, ce règlement absurde où pendant 80 pages absconses on vous explique doctement que vous, vous devez expliquer de façon « claire et concise » comment vous employez les données personnelles des gens.
    Cela prêterait à rire si cela n’entraînait un tel gaspillage de ressources pour un bénéfice à peu près nul pour les citoyens.

  • Le RGPD est une absurdité, par contre je ne suis pas d’accord avec l’argument principal de l’article. Du moment qu’une entreprise collecte des données personnelles, il est de sa responsabilité de protéger ces données. Elle doit avoir une politique de confidentialité disponible pour tous ses clients/utilisateurs et si elle ne respecte pas cette politique il est normal que ses utilisateurs puissent demander dédommagement. L’auteur de l’article ne semble considérer que les réseaux sociaux et en conclut que si les utilisateurs exposent toute leur vie sur la toile c’est leur propre faute. Les réseaux sociaux ne représentent qu’une petite partie des données collectées et ne sont que la partie visible. Le marché des données personnelles est un marché très juteux. Tout logiciel sur internet collecte des données sur leurs utilisateurs, par exemple Contrepoints collectent des données sur leurs utilisateurs (email, commentaires, etc.). Ce qui n’est pas une mauvaise chose en soi du moment que les utilisateurs sont informés de l’utilisation de leurs données et que les serveurs de Contrepoints de ne sont pas vulnérables à une attaque extérieure (au si peu vulnérable que possible). Du moment qu’un site internet à ne serait-ce qu’un formulaire demandant des informations sensibles et identifiant l’utilisateur, il est de la responsabilité du propriétaire du site de protéger ces données.

  • La France vient de dire qu’elle n’appliquerait pas cette directive européenne aux organismes « nationaux » : Sécu, Mutuelles, SNCF, RATP, Cartes grises etc etc etc… Conclusion : l’Europe veut vous protéger, la France vous espionner !!!

  • Les commentaires sont fermés.

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Dans son discours sur l'état de l'Union, la présidente de la Commission européenne, Ursula von der Leyen, a annoncé qu'elle allait "présenter les premières propositions législatives visant à réduire de 25% les obligations de déclaration au niveau européen".

Il s'agit d'une annonce bienvenue, et c'est la première fois que la Commission européenne parle à nouveau d'une "meilleure réglementation" depuis que ce programme n'a pas réussi à se concrétiser après avoir été promu par le commissaire européen néerlandais Frans Timmermans au cours ... Poursuivre la lecture

Un article du Risk-Monger.

 

Un récent projet de texte de loi qui fait son chemin vers le Parlement européen et le Conseil, sous le nom de directive sur l'écoblanchiment (officiellement la directive sur les allégations écologiques), prévoit d'introduire des mesures plus strictes pour mettre fin à l'écoblanchiment : lorsqu’une organisation affirme que ses produits sont écologiquement durables, alors qu’en fait ils ne le sont pas.

Le greenwashing n'est-il qu'une « maladie industrielle » ? Seulement les entreprises ? Se... Poursuivre la lecture

Le 27 juin 2023 les députés ont voté l'obligation pour les entreprises de 11 à 49 salariés de mettre en place un dispositif de "partage de la valeur". Jusqu’à présent, les entreprises de moins de 50 salariés n’étaient pas concernées par la participation des salariés aux bénéfices des entreprises.

Avec ce projet de loi il s’agit d’étendre l’idée de l’association capital-travail, chère au Général de Gaulle, aux petites et moyennes entreprises qui emploient de nombreux salariés.

En effet, selon l’INSEE, en 2018, la France compte 14... Poursuivre la lecture

Voir plus d'articles