4 mythes sur le règlement général sur la protection des données (RGPD)

Cet article présente 4 fausses vérités sur le Règlement général sur la protection des données (RGPD).

Mythe numéro 1

« Le règlement général sur la protection des données (RGPD) entre en vigueur le 25 mai 2018 ».

C’est faux. Il l’est depuis la directive (UE) 2016 /680 du parlement européen et du conseil du 27 avril 2016. Il doit être en place dans les entreprises et collectivités au plus tard le 25 mai 2018. Le délai pour la mise en conformité a donc été de deux ans.

Le RGPD n’est pas une création du G29 tombée du ciel. C’est une amélioration de textes existants, notamment de la loi informatique et liberté.

Mythe numéro 2

« Je ne travaille qu’avec des professionnels donc le règlement général sur la protection des données (RGPD) ne me concerne pas car je ne gère et traite pas de données personnelles ».

Je l’ai encore entendu cette semaine…

Eh bien c’est également faux. Une donnée est considérée comme personnelle à partir du moment où elle permet d’identifier une personne physique de façon directe ou indirecte. Par exemple si vous détenez des informations du type adresse e-mail ou ligne téléphonique directes, la fonction de la personne ou l’intitulé de son poste au sein d’une entreprise, ces données sont considérées comme personnelles. Ces Données ne concernent bien entendu pas que les clients. Elles concernent les salariés, les prospects, les clients, les fournisseurs, les prescripteurs…

Les tableaux ci-dessous vous en disent plus sur les Données à Caractère Personnel (DCP)

Mythe numéro 3

« Pour être conforme au règlement général sur la protection des données (RGPD), comme pour le passage à l’an 2000 et à l’€uro, une mise à jour des logiciels de l’entreprise suffira ».

Eh bien non, car les données papiers sont également concernées. La mise en place du règlement général sur la protection des données (RGPD) a un impact important sur le fonctionnement de l’entreprise. L’informatique n’est qu’un outil au service du RGPD. Méfiez-vous des marchands du temple qui vous promettent la conformité si vous achetez leurs solutions logicielles…

Mythe numéro 4

« La CNIL ne viendra jamais me contrôler, je suis trop petit ».

Celle-là j’y ai le droit tous les jours et plusieurs fois par jour…

En 2017 la CNIL a réalisé plus de 8 000 contrôles. Les 2/3 soit plus de 5 300 ont été effectués par suite d’une saisine de la CNIL. Toute personne peut saisir cette dernière dès lors qu’elle considère que vous ne respectez pas le règlement. Ainsi un salarié ou ex-salarié qui considère que vous détenez des données le concernant qui ne seraient pas pertinentes, les destinataires d’un e-mail non sollicité… peuvent saisir la CNIL.

Je vous propose maintenant un petit point sur les sanctions encourues.

Tout d’abord il me semble bon de rappeler que nul n’est censé ignorer la loi.

Ensuite le règlement entre simultanément en action le 25 mai 2018 dans l’ensemble des 29 pays de l’Union Européenne, pourquoi la France ferait-elle exception ?

Le délai pour se mettre en conformité a été de deux ans. Même si l’impact est important pour les entreprises, ce délai était largement raisonnable.

Seules 37% des entreprises françaises considèrent qu’elles seront prêtes ou auront entamées la démarche de mise en conformité au 25 mai.

J’en reviens aux sanctions. Elles sont potentiellement de 3 ordres :

L’amende

Son montant sera calculé sur la base de 2 à 4% du chiffre d’affaire annuel, mondial des sociétés. Le pourcentage retenu sera lié à différents critères tel que l’engagement dans la mise en place du règlement général sur la protection des données (RGPD) dans l’entreprise. Concrètement pour une entreprise réalisant un CA de 1 million d’€ cela représente de 20 000 à 40 000 € jetés par les fenêtres.

Votre image

Comment réagiront vos prospects, clients et partenaires quand ils auront que vous ne protégez pas correctement leurs données personnelles ? La CNIL peut désormais vous ordonner aux organismes/entreprises sanctionnés d’informer de cette sanction les personnes dont les données ont fait l’objet du manquement, à vos frais bien entendu. Cette sanction peut faire beaucoup plus de mal à votre entreprise que l’amende !

Le pénal

Une personne ou un groupe de personnes (le RGPD autorise les actions de groupe) qui considéreraient qu’elles ont été impactées par votre non-respect du règlement et que cela leur porte préjudice peuvent en plus vous poursuivre au pénal.  l’article 84 1° du Règlement énonce que les Etats peuvent déterminer le régime des sanctions applicables en cas de violation des obligations prévues, autres que les sanctions administratives.

Les sanctions pénales en cas de manquement aux règles en matière de protection des données sont déjà prévues en droit français et réprimées par les articles 226-16 à 226-24 du Code pénal. Elles peuvent être résumées dans le tableau suivant (réalisé par le cabinet Haas):

Conclusion

Le RGPD concerne 100% des entreprises. Il a un véritable impact sur leur fonctionnement, leur organisation. En ne s’y conformant pas elles risquent une triple peine. Il ne faut pas mésestimer ce risque. Entamer aujourd’hui la démarche de mise en conformité ne vous permettra probablement pas d’être prêt le 25 mai. Cependant cela vous permettra de démontrer votre volonté de vous mettre en conformité avec le règlement, ce qui est rassurant !