Le Règlement Général sur la Protection des Données (RGPD) est une nouvelle loi sur la confidentialité et la sécurité des données en Europe. Elle est entrée en vigueur le 25 mai 2018.
Voici quatre questions auxquelles nous allons tenter d’apporter quelques réponses et éclaircissements sur le sujet :
- En quoi consiste le RGPD ?
- Cette réglementation concerne-t-elle les entreprises américaines ?
- Si c’est le cas, comment s’applique-t-il ?
- Qu’est ce que les entreprises américaines doivent faire pour s’y conformer ?
Tout de suite, nous allons répondre de façon simple à l’une des questions susmentionnées : non seulement le RGPD s’applique aux entreprises américaines, mais si celles-ci font des affaires dans l’Union européenne (UE), cela pourrait leur coûter cher au cas où elles ne s’y conformeraient pas.
Qu’elles opèrent ou qu’elles servent des clients dans l’UE, ces entreprises doivent ainsi comprendre ce qu’elles doivent faire pour se préparer à cette nouvelle réalité.
Qu’est ce que le RGPD ?
Pour commencer, rappelons que le Parlement européen a adopté le RGPD en avril 2016. Il remplace une directive obsolète sur la protection des données qui date de 1995, car celle-ci ne réglementait généralement pas les entreprises basées en dehors de l’UE.
Le RGPD comporte de nombreuses dispositions, obligeant les entreprises à protéger les données personnelles ainsi que la vie privée des citoyens de l’UE pour toute transaction effectuée dans les États membres de l’UE.
Toutes les entreprises du monde entier qui ont des employés – ou qui font des affaires dans l’un des 28 États membres (Allemagne, Autriche, Belgique, Bulgarie, Croatie, Chypre, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, République tchèque, Roumanie, Royaume-Uni, Slovaquie, Suède et République Tchèque) – doivent donc se conformer à cette réglementation.
Et même si votre entreprise n’est pas basée dans l’UE et que vous avez des employés, des clients ou des sous-traitants basés dans un pays de l’UE ou citoyens de l’UE, elle doit aussi respecter les normes en matière de confidentialité des données, sous peine de sanctions sévères.
La pénalité pour non-conformité au RGPD pour les entreprises est de 20 000 000 euros (23 138 200 dollars) ou 4 % du chiffre d’affaires annuel global de l’entreprise pour l’exercice précédent (le plus élevé des deux montants étant retenu). S’il est avéré qu’une entreprise ne s’est pas conformée au RGPD, elle sera également soumise à des vérifications régulières et périodiques de la protection des données pour s’assurer que ses politiques et procédures sont mises à jour et que l’entreprise continue à se conformer au RGPD.
Qu’en est-il de la protection de la vie privée aux Etats-Unis ?
Certains d’entre nous se posent la question suivante : est-ce qu’il existe un équivalent américain du RGPD qui établit, au niveau local, la loi du pays concernant les cookies, le suivi des sites web et le respect de la vie privée des utilisateurs finaux ?
La réponse est non.
Les Etats-Unis n’ont rien de comparable au RGPD. Lorsqu’une entreprise collecte et traite les données personnelles des citoyens européens, c’est le RGPD qui entre en vigueur.
L’absence d’une réglementation fédérale portant sur la confidentialité des données ont poussé de nombreux États américains à légiférer localement afin de garantir aux consommateurs le droit de refuser que leurs données soient divulguées ou vendues à des tiers.
Prenons l’exemple de la loi californienne sur la protection de la vie privée des consommateurs, communément connue sous le nom de CCPA ou « California Consumer Privacy Act ». Cette norme est entrée en vigueur le 1er janvier 2020 et garantit aux citoyens de la Californie le droit d’accéder à leurs données ; le droit de refuser la vente de ces informations et le droit de demander leur suppression.
Le Nevada a également adopté sa propre loi sur la protection de la vie privée qui a pris effet le 1er octobre 2019. Même si cette loi est loin d’être aussi ambitieuse que la CCPA, elle donne néanmoins aux résidents du Nevada le droit de refuser la vente de leurs données à des tiers.
En matière de protection de la vie privée, il existe une certaine différence entre l’approche de l’UE et celle des Etats Unis. En général, les membres de l’UE perçoivent la vie privée comme un droit fondamental de l’homme où chaque individu est propriétaire de ses données. Par contre, les États-Unis ne la considèrent pas en tant que tel, et les entreprises considèrent qu’elles sont propriétaires des données personnelles qu’elles collectent.
C’est probablement pour cette raison que les États-Unis ont choisi de ne mettre en place aucune réglementation globale en matière de protection de la vie privée. Et lorsque le besoin s’en fait sentir, ils préfèrent plutôt créer des lois sur la protection de la vie privée en utilisant une approche sectorielle (santé, marketing, finances, etc.).
Mais, malgré ces approches fondamentalement différentes, les États-Unis tendent actuellement à se conformer au RGPD en réponse aux mesures imposées par l’UE.
Les entreprise américaines sont de plus en plus enclines à se conformer au RGPD
Une récente enquête menée par PricewaterhouseCoopers auprès de grandes multinationales américaines a montré que des efforts sont déjà en cours pour assurer le respect de cette réglementation européenne. Plus de la moitié des entreprises interrogées ont déclaré que la protection des données est désormais leur principale priorité, et 92 % d’entre elles ont déclaré que le respect de cette obligation est une priorité absolue cette année.
Le coût de la conformité est toutefois considérable. 77 % des entreprises sondées ont indiqué qu’elles prévoyaient dépenser plus d’un million de dollars pour se conformer à cette réglementation. L’un de leurs principaux postes de dépenses étant l’amélioration de leurs mesures de sécurité de l’information.
De nombreuses entreprises commencent à se demander comment le RGPD pourrait s’appliquer aux entreprises américaines. Une étude menée par NTT Security a révélé que trois quarts des entreprises américaines ignorent cette règlementation, car elles ne croient pas être concernées. L’ignorance pourrait s’avérer toutefois très coûteuse et, de surcroît, le temps presse.
Comment le RGPD s’applique-t-il aux sociétés américaines ?
L’objectif principal du RGPD est de donner aux citoyens de l’UE un plus grand contrôle sur la manière avec laquelle leurs données personnelles sont collectées, protégées et utilisées. Si la législation s’applique aux entreprises de l’UE, elle s’applique également à toute entreprise qui choisit de faire des affaires dans le territoire européen. Cela inclut toute entreprise en ligne qui possède un site web accessible aux citoyens de l’UE, au cas où ce site collecterait des données sur les utilisateurs.
Comme la définition des renseignements personnels comprend les identificateurs en ligne comme les cookies, le RGPD a donc des répercussions sur un grand nombre d’entreprises américaines.
Ce texte s’applique à toutes les entreprises qui font des affaires avec des personnes basées dans les États membres de l’UE, à l’exception des forces de l’ordre, ou lorsque des données sont collectées pour des activités de sécurité nationale.
Les sites e-commerce sont un excellent exemple d’une catégorie d’entreprises pouvant être situées en dehors de l’UE et qui peuvent être visées par le RGPD. Si une entreprise américaine, présente sur un site web, vend des produits à des citoyens de l’UE et expédie des articles en Europe depuis les États-Unis, elle doit respecter les normes stipulées dans le RGPD pour les données personnelles collectées dans le cadre de ce processus. Dans le cas contraire, elle risque une action coercitive avec des amendes potentielles à son encontre.
Sachez que le RGPD s’applique même si aucune transaction financière n’a lieu. C’est par exemple le cas lorsque l’entreprise américaine vend ou commercialise des produits via Internet à des citoyens de l’UE ; lorsque son site e-commerce possède un suffixe de domaine pour un pays de l’UE ou lorsqu’elle accepte la monnaie d’un pays de l’UE.
Pour continuer à exercer des activités commerciales dans l’UE, la plupart des entreprises devront donc mettre en œuvre des mesures supplémentaires de protection de la vie privée et adopter des stratégies de protection des données de bout en bout.
Que signifie exactement le terme « données personnelles » ?
Les lois américaines sur la notification des violations de données définissent ce terme comme le nom d’une personne accompagné d’un autre type d’informations d’identification telles qu’un numéro de sécurité sociale ou des informations sur un compte financier.
Pour l’UE, le sens d’une donnée personnelle va beaucoup plus loin. Selon la Commission nationale de l’informatique et des libertés (CNIL), elle peut être définie comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
Les données personnelles peuvent ainsi inclure un large éventail d’informations (noms, adresses, numéros de téléphone, e-mails, informations bancaires, numéros de carte de crédit, informations médicales, messages sur les plateformes de médias sociaux, etc.
Même si des contrôles ont été mis en place pour assurer la sécurité des données personnelles que vous collectez, il peut s’avérer nécessaire de réviser vos systèmes afin de vous assurer que des protections suffisantes sont en place pour se conformer au RGPD.
Obligations des entreprises selon les termes du RGPD
Les entreprises doivent savoir où les données sont stockées et les employés doivent être formés pour s’assurer qu’ils sont conscients de leurs responsabilités quant à l’utilisation de ces données.
Les organisations devront fournir aux clients ainsi qu’aux visiteurs de site Web des renseignements détaillés sur la façon de collecter et d’utiliser les données. Le consentement doit être obtenu de l’utilisateur (ou bien du parent ou du gardien d’un mineur) avant la collecte des données.
Les entreprises doivent avoir une raison légitime et légale et se limiter au minimum d’informations nécessaires lorsqu’elles recueillent les données. Celles-ci doivent également être effacées lorsque l’objectif a été atteint.
Si leurs activités principales sont la collecte, le stockage ou le traitement des données, les organisations doivent nommer un délégué à la protection des données qui connaît bien le RGPD et qui en surveillera la conformité. Cette personne doit également avoir une connaissance approfondie de l’infrastructure organisationnelle et technique de l’entreprise. Par ailleurs, elles doivent mettre en œuvre des politiques, procédures et technologies appropriées pour garantir que les données des citoyens de l’UE puissent être effacées définitivement. Le droit à l’oubli (appelé « droit à l’effacement ») fait partie du droit à la liberté d’expression.
Consentement, droit à l’oubli et droit à l’effacement
La législation que le RGPD a remplacée n’exigeait pas l’effacement des données que lorsqu’elles causaient des dommages importants. Toutefois, à partir de l’année prochaine, un citoyen de l’UE peut demander que toutes les données collectées à son sujet soient effacées définitivement si les informations ne sont plus nécessaires aux fins pour lesquelles elles ont été initialement collectées.
Les données doivent également être effacées si le consentement concernant leur utilisation est retiré, ou encore si le traitement des données est considéré comme illicite et contreviennent au RGPD.
De nombreuses entreprises américaines ont déjà mis en place des technologies qui respecteront les exigences du RGPD, mais l’exigence relative au droit d’effacement pourrait poser problème.
Symantec a récemment mené une enquête qui a révélé que 9 entreprises sur 10 craignaient de ne pas être en mesure de se conformer à l’exigence du droit à effacement comme stipulé par le RGPD. Seulement 4 entreprises sur 10 disposent d’un système en place qui pourrait permettre de supprimer toutes les données collectées.
A ceux-ci s’ajoutent d’autres droits des personnes concernées comme les droits à la portabilité et d’opposition au traitement des données ; le droit d’information et de demande de copie des informations personnelles détenues par votre entreprise, etc.
Quelques conseils pour la mise en conformité avec le RGPD
Le respect du RGPD peut sembler difficile, mais en procédant étape par étape, votre organisation pourrait bientôt être sur la voie de la conformité.
Dans un premier temps, rappelez-vous que l’objectif n’est pas d’atteindre la conformité totale. Le simple fait de montrer un effort – comme l’élaboration d’un plan – pourrait déjà suffire à tenir les organes régulateurs à distance.
Ensuite, vous aller effectuer une évaluation des risques ; déterminer les éléments les plus risqués concernant le traitement des données personnelles que vous disposez et commencer à y travailler.
Surtout, ne paniquez pas !
Le RGPD est complexe et sa portée est grande. Il peut être difficile à gérer pour les entreprises, notamment les PME. L’astuce est de décomposer le processus en plusieurs éléments que vous pourrez gérer plus facilement, en accomplissant une petite tâche à la fois.
En fait, le processus de mise en conformité devrait être considéré comme une progression, plutôt qu’une liste de tâches à faire que vous devez rayer d’un seul coup.
Evaluez les risques
L’évaluation des risques est un bon point de départ. Cela vous permet d’identifier les domaines les plus vulnérables pour votre entreprise, c’est-à-dire ceux dans lesquels vous risquez d’enfreindre les règles du RGPD.
Ce faisant, vous allez classer par ordre de priorité les éléments à traiter en premier, en commençant par ceux qui sont les plus risqués. Par exemple, si votre sécurité est insuffisante, vous devriez renforcer vos défenses afin d’éviter les violations de données.
Lors de cette étape, il est plus judicieux de travailler avec un consultant en conformité avec le RGPD.
Comprenez les données et la raison pour laquelle vous les collectez
C’est aussi un élément important du RGPD. En fait, vous devez avoir une image complète des données collectées par votre organisation et les raisons pour lesquelles vous le faites. Assurez-vous que les consommateurs peuvent recevoir une copie de leurs données en cas de besoin, et que vous êtes en mesure de les supprimer ou de les modifier si leurs propriétaires le demandent. Par ailleurs, vous devez savoir comment les données sont stockées ; pourquoi elles sont utilisées et où elles sont partagées.
Établissez un programme de gouvernance formel
A ce stade, vous devriez avoir mis au point un processus interne de mise en conformité avec le RGPD. Par la suite, vous allez établir un programme de gouvernance formel qui vous aidera à démontrer vos efforts aux autorités de réglementation. La nomination d’un responsable de la protection des données pourrait être nécessaire pour superviser la collecte et le traitement des données.
Etant donné que la conformité au RGPD est un processus continu et que chaque texte de loi adopté ou proposé peut comporter d’autres exigences spécifiques, votre entreprise est donc censée faire beaucoup de choses. Mais n’oubliez pas que vous pouvez commencer à travailler à la mise en conformité même si vous ne connaissez pas encore tous les détails.
Ainsi, vous pouvez réduire votre risque d’enfreindre les textes stipulés par le RGPD. Dans le pire des cas, vous pourrez démontrer aux organes régulateurs que vous avez fait un effort de bonne foi pour protéger les données que vous avez collectées.
Le mot de la fin
Pour les entreprises américaines, la protection de la confidentialité des données personnelles des citoyens européens relève du bon sens, mais elle peut les aider à construire une marque de confiance.
En plus de la préparation au RGPD et la mise en œuvre des mesures d’application, votre entreprise devrait surveiller de près le Comité européen de la protection des données (CEPD), une institution qui remplace l’ancien groupe de l’article 29 et dont la mission principale est de veiller à l’application du RGPD dans tous les pays membres de l’UE.
Le CEPD pourrait publier de nouvelles directives ; des clarifications réglementaires supplémentaires et des documents d’orientations générales pour clarifier les dispositions européennes en matière de protection des données. Grâce à ces ressources, vous pourrez avoir une interprétation plus cohérente de vos droits et obligations.
Bien entendu, le RGPD n’est qu’une sorte de catalyseur qui a donné le coup d’envoi à de nombreuses lois mondiales sur la protection des données. Votre entreprise devrait donc suivre ces évolutions si elle veut prendre de l’avance, en investissant dans les flux de données dont vous disposez déjà.
Enfin, que votre organisation soit basée aux Etats-Unis, en Europe ou partout dans le monde, n’évitez pas la mise en conformité au RGPD et ne la remettez pas à demain. Commencez tout simplement !