Le RGPD (pour Règlement Général de la Protection des Données à caractère personnel) est applicable dans nos vies numériques il y a un mois déjà, le 25 mai 2018. Mais, le RGPD qu’est-ce que c’est vraiment ? Quel impact réel pour les entreprises ? Qu’est-ce qui change pour les usagers ? Réponse de Xavier Strubel, professeur, directeur du Mastère Spécialisé® Data Protection Management d’Institut Mines-Télécom Business School.

 

Xavier Strubel

Xavier Strubel

Le RGPD, qu’est-ce que c’est ?

Ce règlement général de la protection des données à caractère personnel a été adopté en 2016 par le Parlement Européen. Il est entré en vigueur le 25 mai 2018. Il se substitue à une directive de 1995 et s’adresse directement à l’ensemble des responsables de traitement qui collectent et analysent les données à caractère personnel. Il vise notamment à uniformiser le droit au sein de l’Union européenne. En France, ce texte remplace en partie à la loi informatique et libertés de 1978.

Qu’est-ce qui change pour les citoyens européens ?

Nous conservons les mêmes droits qu’avec la loi de 1978 (actualisée en 2004 et en 2016). Nous gardons le droit d’être informés sur les traitements qui concernent nos données et le droit de rectification, d’opposition et de consultation de nos données. Le RGPD ajoute deux nouveautés :
– Le droit à l’effacement des données
– Le droit à la portabilité des données. Par exemple, si vous changez de fournisseur d’accès à internet pour passer de Free à Orange, vous pouvez demander à transférer l’intégralité des données d’une entreprise à l’autre

Beaucoup pensent que les GAFAM ne sont pas concernés par le RGPD, car nos données sont transférées à leurs sièges, aux USA. Est-ce vrai ?

Le RGPD s’applique également à ces entreprises, puisqu’elles possèdent des filiales un peu partout en Europe. Les GAFAM n’ont donc pas d’autre choix que de se conformer au RGPD, en ce qui concerne le traitement des données des citoyens de l’Union Européenne.

Quels recours sont possibles pour les utilisateurs ?

Ils peuvent tout d’abord écrire au Délégué à la Protection des Données (ou Data Protection Officer ; DPO) du responsable de traitement si ce dernier en a désigné un. La personne qui subit des dommages peut aussi soit s’adresser à la CNIL, soit saisir directement la justice.

Et pour les entreprises, quelles sont les nouveautés ?

Il y a plusieurs. Je citerai trois grands changements :
– Le principe de responsabilisation (accountability) . Auparavant, les entreprises devaient par exemple effectuer une déclaration préalable à la CNIL lorsqu’elles disposaient d’un fichier client et que le traitement des données ne comportait aucun risque par rapport à la vie privée. Aujourd’hui, les responsables de traitement devront mettre en œuvre des mesures techniques et organisationnelles pour s’assurer que le traitement des données est conforme au RGPD. Nous ne sommes plus dans une logique de contrôle a priori, mais a posteriori. Pour chaque donnée dite « sensible », comme les informations biométriques, les entreprises devront réaliser une analyse d’impact sur la protection des données (DPIA – Data Protection Impact Assessment)
– Le consentement préalable de la personne fichée est renforcé et il faut démontrer l’utilité de chaque information que l’on récolte sur les individus
– De nouvelles sanctions ont été mises en place. Avec la loi de 1978, la peine maximale en cas de méconnaissance des obligations ne pouvait excéder 3 millions d’euros. Avec le RGPD, la sanction financière peut atteindre 4 % du chiffre d’affaires annuel mondial. Pour des entreprises comme Google ou Facebook, cela peut être assez conséquent !

Enfin, pour faciliter la réalisation de ces tâches, les entreprises doivent recruter des DPO. La CNIL estime qu’il en faudrait aujourd’hui de 80000 à 100 000 en France.

Quelles sont les missions de ce nouveau poste ?

Elles sont définies dans le RGPD. Il doit notamment :
• Informer et conseiller le responsable de traitement, qui peut être l’employeur, comme un sous-traitant
• Contrôler le respect du RGPD, de la loi informatique et libertés actualisée…
• Dispenser des conseils relatifs à la protection des données (par exemple lors de la conception d’un traitement de données personnelles)
• Coopérer avec la CNIL, notamment en cas de contrôle. Il est LE point de contact de l’institution de contrôle

Le DPO est désormais le stratège de la mise en conformité d’une organisation au RGPD. C’est pourquoi il est très important qu’il soit situé au plus haut dans la hiérarchie d’une entreprise ; il doit être ainsi au plus proche de la direction générale.

Vous proposez à Institut Mines-Télécom Business School, un Mastère Spécialisé® Data Protection Management. Pouvez-vous nous en dire plus ?

Ce programme de haut niveau (bac+6) a pour objectif de former les étudiants à devenir DPO et de leur permettre d’évoluer ensuite vers d’autres postes en matière de gouvernance des données (Chief Data Officer…). La formation est en alternance, au rythme de trois semaines en entreprise et une semaine à l’école. Elle est ouverte à tous les profils, des juristes aux ingénieurs en passant par les diplômés de filière de gestion. Il n’y a pas de prérequis. Outre l’acquisition de très solides compétences en droit des données personnelles, sécurité des SI, cette formation pluridisciplinaire mise également sur l’acquisition de compétences managériales. Nous  dispensons également des cours de négociation pour apprendre à convaincre et des cours d’éthique de la vie privée car nous voulons former des DPO responsables ! Enfin nous sommes la seule formation à mettre en place une « clinique du DPO » pour aider les entreprises qui veulent nous contacter à se mettre en conformité au RGPD grâce aux informations données par nos étudiants encadrés par des enseignants du MS.

 

Plus d’informations sur le RGPD : https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX%3A32016R0679