Les sociétés qui traitent des données personnelles seront bientôt soumises au GDPR, le nouveau règlement européen adopté en avril 2016 et applicable le 25 mai 2018. Pour être prêts à temps et éviter de s’exposer à des sanctions importantes, les entreprises et organismes européens, mais aussi étrangers qui travaillent avec des usagers de l’UE, doivent connaître le nouveau règlement et ce qu’il implique. Tour d’horizon des points clés du GDPR à connaître pour mieux s’organiser.

1.     GDPR, qu’est ce que c’est ?

Le GDPR (General Data Protection Regulation) est le nouveau règlement général de l’Union européenne sur la protection des données. Son but : renforcer le respect de la vie privée des usagers en réduisant les communications non sollicitées et garantir la protection des données à caractère personnel.

Le texte, publié le 27 avril 2016 au Journal officiel de l’Union européenne, sera applicable à partir du 25 mai 2018 dans tous les pays de l’UE et concernera également les sociétés non européennes qui font des affaires avec des usagers européens.

D’une part, le GDPR renforce les droits des usagers européens, qui peuvent contrôler leurs données personnelles. De l’autre, il vise à simplifier les formalités pour les sociétés, mais aussi mieux encadrer la façon dont elles traitent ces données et les font circuler.

2.     Quelle loi le GDPR vient-il remplacer ?

Le GDPR remplacera un texte adopté en 1995, alors qu’Internet faisait ses premiers pas sur la scène internationale : la Directive sur la protection des données personnelles. La France a d’ailleurs été l’un des premiers pays à formuler une loi Informatique et Libertés, dès 1978.

C’est aujourd’hui la Commission Nationale Informatique et Libertés (CNIL) qui fait office d’autorité de protection des données personnelles des citoyens français. Avec le GDPR, les formalités auprès de la CNIL seront notamment simplifiées.

Le nouveau règlement permet ainsi d’harmoniser toutes les règles européennes relatives à la protection des données personnelles.

3.     Qui est concerné par le GDPR ?

Le GDPR ne s’applique pas seulement au domaine de l’email marketing, mais aux autorités publiques et aux sociétés de toutes les tailles et de tous les secteurs de l’industrie. Les marketeurs du monde entier sont les premiers concernés, puisque leur corps de métier repose sur l’exploitation des données. Ils doivent donc se préparer dès aujourd’hui pour respecter le nouveau règlement et éviter des amendes particulièrement conséquentes.

Le nouveau règlement européen s’applique en effet aux sociétés et organisations situées physiquement dans les pays de l’Union européenne (y compris le Royaume-Uni, malgré le Brexit). Il concerne également les entités hors UE, dans la mesure où elles traitent des données à caractère personnel de citoyens européens.

4.     À quel type de données le GDPR s’applique-t-il ?

Le GDPR s’applique uniquement aux « données à caractère personnel », c’est-à-dire aux données permettant d’identifier une personne physique. La protection des données personnelles concerne ainsi :

• des données de nature sociodémographique, telles que le nom, la profession, l’âge, la situation familiale, le lieu de résidence ou l’adresse email (même l’adresse email professionnelle d’une personne physique) ;
• les données cryptées et les identifiants en ligne (notamment les cookies) ;
• les données comportementales, notamment la situation ou le comportement d’achat ou l’utilisation des produits achetés ;
• les données biométriques ou génétiques.

5.     Quelles sont les principales dispositions du GDPR ?

Le GDPR vise à renforcer les droits des usagers en leur permettant de mieux maîtriser ce que les entreprises et organisations font de leurs données personnelles. Les principales mesures à connaître pour les usagers et les professionnels sont les suivantes :

• une possibilité de récupération des données par l’usager qui les a communiquées et de réutilisation ultérieure (droit de portabilité) ;
• une transparence accrue, grâce aux droits d’accès et de rectification ;
• une meilleure protection des enfants : le consentement des parents est nécessaire lorsque l’utilisateur est âgé de moins de 16 ans ;
• une autorité de protection des données unique qui facilite les démarches pour les usagers ;
• des pénalités revues à la hausse, avec des amendes susceptibles d’atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial des sociétés en cause ;
• un droit à l’oubli/l’effacement permettant de mieux protéger la vie privée des particuliers ;
• la limitation de la collecte des données au minimum requis ;
• la nécessité d’obtenir le consentement explicite et libre de l’usager ;
• l’obligation de signaler les violations (fuites de données, etc.) dans les 72 heures ;
• la mise en place de mesures de sécurité renforcées par les sociétés, avec une « protection des données dès la conception » des produits et services utilisant les données personnelles.

6.     Qu’est-ce qu’un délégué à la protection des données ?

Les autorités et organismes publics, ainsi que les sociétés qui traitent à grande échelle des données « sensibles » ou assurent un suivi régulier et systématique des usagers à grande échelle auront l’obligation de nommer un délégué à la protection des données.

Celui-ci aura une mission d’information, d’accompagnement et de sensibilisation au sein de la société ou de l’organisme pour l’aider à respecter le GDPR. Il sera responsable des relations avec la CNIL.

7.     Quelles sont les sanctions et pénalités prévues par le GDPR ?

Le GDPR prévoit des sanctions sévères pour les organisations et sociétés qui ne respecteront pas les nouvelles mesures de protection des données personnelles.

Les amendes s’élèveront à un montant de 10 à 20 millions d’euros ou de 2 % à 4 % du chiffre d’affaires annuel mondial de la société (la somme la plus élevée étant retenue). La sanction dépendra du type d’infraction aux dispositions du GDPR.

Les pénalités les plus lourdes concernent notamment :

• l’insuffisance du consentement obtenu des usagers pour la collecte et le traitement de leurs données personnelles ;
• la violation des principes de « protection dès la conception ».

En savoir plus :

GDPR et email marketing : ce qui va changer le 25 mai 2018

Protection des données : comment se préparer au GDPR en 9 étapes