Gestion des données personnelles : préparez-vous à la nouvelle réglementation européenne !

A partir du 25 mai 2018, un nouveau règlement européen, dit RGPD, s’appliquera à toutes les entreprises collectant, stockant et traitant des données personnelles. Cette réforme vise à renforcer le droit des personnes et à mieux responsabiliser les sociétés gérant des informations privées. Il permet de simplifier, d’harmoniser et d’assainir la gestion de celles-ci de façon uniforme à travers l’Union Européenne. Au final, il permet plus de transparence et de confiance dans les outils numériques.

De nombreux acteurs de la mobilité électrique collectent des informations personnelles auprès de leurs clients. Ils sont donc naturellement concernés par ce nouveau règlement.

Toutes les données sont concernées

Le RGPD englobe toutes les informations liées à une personne physique identifiée et identifiable, même les données indirectes :

• Les éléments d’identification communs comme son identité, ses coordonnées…
• Les éléments culturels et sociaux liés à ses comportements digitaux, tels son identifiant, ses habitudes de navigation sur internet…

Pour les acteurs de la mobilité électrique, les informations contenues dans les véhicules, récoltées lors de la recharge, publique comme privée, ou dans les badges d’identification d’accès aux bornes sont évidemment concernées.

L’ensemble des données brutes, ainsi que les enseignements qui découlent de leur traitement (automatisé ou non) sont concernées par cette réglementation.

Une règle appliquée à toutes les entreprises

Le Règlement Général sur la Protection des Données s’applique à l’ensemble des acteurs économiques et sociaux, entreprises, associations, administrations ou collectivités locales, dès lors que les informations traitées concernent des résidents de l’Union Européenne. A noter que les personnes morales basées dans un territoire extra-communautaire doivent également respecter cette réglementation.

La personne, qu’elle soit physique ou morale, qui détermine les finalités du traitement et les moyens mis en place pour y arriver est responsable du respect du règlement. Les sous-traitants sont également concernés. Au sein de chaque structure, un interlocuteur unique (le « délégué à la protection des données », DPO) doit être nommé afin de superviser le projet.

Les principales implications pour les entreprises

Cette nouvelle réglementation européenne harmonise et clarifie les obligations des entreprises à l’échelle européenne.

Lors de la collecte, la personne morale doit offrir une information claire et accessible quant à l’utilisation qui sera faite des données, l’usager devant pouvoir donner explicitement son accord à celle-ci. Dans tous les cas, la charge de la preuve du consentement incombe au DPO. Le principe de minimisation de l’utilisation est de mise : ainsi, seules les informations nécessaires à la finalité attendue doivent être conservées au plus haut niveau de confidentialité.

Pour se faire, l’entreprise doit veiller à ce que les données soient protégées de tout risque de vol, perte ou divulgation. La structure doit consigner l’ensemble des mesures et des procédures mises en place pour en assurer leur protection. Le responsable des données doit être en mesure de démontrer la conformité du système de protection à tout moment dès la conception de celui-ci et à tout moment. En cas de violation du système, il doit le notifier à la Commission Nationale de l’Informatique et des Libertés dans un délai 72 heures.

Enfin, le transfert des informations collectées en dehors de l’Union Européenne ne peut se faire que dans le respect d’un cadre strict défini par le RGPD.

Des formalités administratives allégées

La responsabilisation du garant du traitement des données est compensée par la suppression des obligations de déclaration auprès de la CNIL, dès lors que la gestion des informations ne constitue pas un risque pour la vie privée.

Au sein des entreprises de plus de 250 personnes, il faudra obligatoirement tenir un registre des activités afin de responsabiliser l’ensemble de la chaine du traitement, du DPO aux différents sous-traitants. Cette obligation s’applique également aux sociétés avec un effectif moindre dès lors que le traitement présente un risque élevé, qu’il n’est pas occasionnel ou qu’il comprend certaines catégories d’informations. Dans les faits, la majeure partie des structures devra donc tenir un tel registre.

Respecter la vie privée des personnes

Dans le cas de la collecte d’informations jugées « sensibles », le DPO doit consulter l’autorité de protection des données avant la mise en place du système. Le responsable du traitement pourrait alors être dans l’obligation de conduire une étude d’impact complète du traitement sur la vie privée des utilisateurs.

Les personnes en faisant la demande doivent bénéficier d’un droit à l’oubli : les entreprises devront supprimer définitivement l’ensemble des données concernées dans un délai de 30 jours.

D’importantes sanctions prévues en cas de non-respect

La méconnaissance ou le non-respect du RGPD par les entreprises peuvent entrainer des sanctions administratives pour elles-mêmes et leurs sous-traitants. Ces dernières peuvent aller de l’avertissement à l’effacement complet des fichiers concernés. Des amendes administratives peuvent également être prononcées et représenter jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise ou 20 millions d’euros. La société pourra également être amenée à indemniser toute personne lésée matériellement ou moralement par un traitement non-conforme de ses données privées, et cela sans plafonnement.

Anticiper l’entrée en vigueur du règlement

Le RGPD sera applicable à partir du 25 mai 2018. Pour s’y préparer, la CNIL propose un logiciel permettant d’analyser les impacts relatifs à la protection des données. Cet outil gratuit et prêt à l’emploi est téléchargeable en ligne et peut facilement être intégré dans les solutions de gestion des données internes aux entreprises.

Crédits : droits réservés