Les nouvelles obligations pour les entreprises

Nous l’avons vu dans la présentation du RGPD, les entreprises vont être grandement impactées. Le RGPD, en effet, impose des règles et obligations aux entreprises qui seront tenues, notamment, à s’assurer du consentement des internautes pour récolter leurs données. Elles seront aussi tenues de prouver que les internautes étaient bien informés et qu’ils ont bien accepté la collecte et le traitement de leurs données.

Une obligation d’information et de respect des droits

Elles devront toujours garantir aux individus que leurs données sont collectées dans un but précis pertinent par rapport à leur finalité, clairement énoncée. De plus, les données ne pourront être conservées que sur la durée nécessaire au traitement. Enfin, elles devront toujours pouvoir assurer aux internautes qu’ils puissent faire exercer leurs droits, le droit d’accès, de rectification et le droit à l’oubli.

Obligation de sécurisation renforcée

L’entreprise veillera également à ce que ces données soient à tout moment et en tous lieux sécurisées contre les risques de perte, de vol, de divulgation ou contre toute autre compromission. Si, malgré tout, un tel événement se produisait, alors l’entreprise en question devrait le notifier rapidement (idéalement sous 72 heures) à l’autorité compétente (la Cnil en France) et informer les personnes concernées en cas de risque réel d’atteinte à la protection de leur vie privée.

Une documentation des données plus précise

L’entreprise sera aussi obligée de documenter toutes les mesures mises en place pour assurer la protection des données des utilisateurs. Les internautes et les autorités de contrôle doivent à tout moment pouvoir avoir accès facilement à ces informations.  Pour ce faire, elle devra remplir un registre : il s’agit d’une documentation que les entreprises doivent remplir et dans laquelle figurent :

  • Les traitements de données personnelles qu’elles font.
  • Les catégories de données personnelles traitées (Les données sur la santé et l’orientation sexuelle par exemple)
  • Les objectifs du traitement
  • Les acteurs qui traitent ces données (ils peuvent être internes ou externes)
  • Les “trajets” des données à caractère personnel (d’où viennent-elles et où vont-elles ?)  
  • Le consentement des personnes concernées

Un transfert des données hors UE plus surveillé

L’entreprise ne pourra transférer des données personnelles en dehors de l’Union Européenne en suivant un cadre très stricte afin d’éviter toutes les déviances que peuvent causer les différentes régulations internationales. Le RGPD prévoit donc de protéger les données hors de l’UE.

Des entreprises plus responsabilisées

Les entreprises devront être en mesure de prouver qu’elles respectent bien le règlement européen. En cas de manquement au règlement, elles s’exposent à des sanctions plus sévères qu’auparavant.  Ainsi le principe d’accountability (responsabilité) des entreprises est aussi mis en avant dans le RGPD. Les entreprises seront plus responsabilisées et devront pourvoir démontrer à tout moment qu’elles respectent les lois relatives aux données personnelles.

Ainsi, les entreprises sont grandement impactées par le RGPD, mais qu’en est-il des secteurs dont l’essence même repose sur la collecte et le traitement des données comme le Marketing Digital ?