Comme le BIM, la RGPD est l’un des acronymes dont on entend parler partout en ce moment.
La MAF en parle, l’Ordre des architectes en parle, tout le monde en parle et pourtant… Personne n’a l’air de vraiment savoir ce que c’est ou ce que ça implique ! Vous aussi ? C’est normal !
Et c’est embêtant parce que c’est un sujet extrêmement important qui vous concerne de très près ! Depuis le 25 mai 2018, le RGPD, c’est à dire le Règlement Général sur le Protection des Données (ou Réglementation Générale sur la Protection des Données, c’est pour ça que vous pouvez voir “le” ou “la” utilisés devant l’acronyme) est applicable en France.
Et alors me direz vous ? Et alors ça change tout !!!
Le règlement concerne toutes les personnes qui vont gérer les données personnelles de leurs clients. Et par données personnelles, on ne veut pas parler du numéro de sécu ou du code de carte bleue mais de données aussi courantes que le nom, prénom et adresse mail !
Avec des sanctions en cas de non respect du Règlement allant jusqu’à une amende de 4 % du chiffre d’affaires annuel. Vous commencez à comprendre pourquoi ça vaut le coup de vous pencher sur la RGPD !
Si après cette introduction, vous êtes curieux d’en savoir plus sur le sujet de la RGPD mais que vous ne savez pas par où commencer, ça tombe extrêmement bien : cet article est le premier d’une série consacrée au sujet qui a pour objectif de vous rendre incollable sur la RGPD sans vous noyer sous le jargon technique ou légal.
Pour cette première partie, nous allons :
– Revenir rapidement sur l’évolution de la protection des données en France ;
– Identifier les acteurs importants (notamment ceux dont vous ne voulez PAS recevoir de lettre !) ;
– Clarifier ce que sont les “données personnelles” ;
– Voir à qui s’applique ce règlement (spoiler alert : à tout le monde !).
On y va ?
Le début des années 70…
Pompidou est Président, le Turbotrain est inauguré (l’ ancêtre du TGV…on a peut-être gagné en vitesse, mais ce nom est indépassable ) et des titres comme “Pour un flirt” de Michel Delpech ou “Le lundi au Soleil” de Claude François sont en tête des classements musicaux.
Mais surtout l’informatique apparaît et se développe !
Face à ce développement, le gouvernement met en place le projet SAFARI en 1973, SAFARI étant l’acronyme de Système Automatisé pour les Fichiers Administratifs et le Répertoire des individus.
L’idée à l’origine du projet est de permettre une circulation et un échange plus fluides des données des individus. Et ce entre les différents organismes administratifs ( histoire d’arrêter d’avoir à saisir 500 fois les mêmes 5 informations sur tous les sites du service public).
Toutes les données détenues par les différents services publics sur un individu étaient recoupées et regroupées sous un seul numéro, celui de la Sécurité Sociale.
Problème : l’Etat avait donc des profils très détaillés sur tous les individus. Cela s’opposait aux lois sur la liberté des citoyens et aux fondamentaux de la démocratie.
Face à la levée de bouclier que l’initiative génère au sein de l’opinion publique, le projet est abandonné en 1974. Pierre Messmer, alors Premier Ministre, crée une commission dite “Informatique et libertés”. Son objectif est de publier un rapport sur les moyens d’encadrer le traitement informatique des données se rapportant à des personnes physiques.
En 1978, suite aux conclusions de ce rapport, la loi relative à l’informatique, aux fichiers et aux libertés est promulguée. Celle-ci institue la “Commission Nationale de l’Informatique et des Libertés”, abrégée en CNIL.
Il s’agit de la toute première autorité administrative indépendante des pouvoirs publics créée en France. Son rôle est de veiller au respect des dispositions légales protectrices des personnes et elle existe toujours aujourd’hui.
En 1995, l’Europe prend la suite, en se basant sur les concepts de la loi française. Elle étend la protection des données personnelles à tous les membres de l’UE.
En 2016, la loi française pour une République numérique renforce les droits des personnes sur leurs données. Elles disposent désormais d’un droit de contrôle sur l’usage qui en est fait.
Au niveau européen, deux directives complémentaires sont adoptées, la directive dite “police-justice”, qui concerne les fichiers de la sphère pénale, et le fameux RGPD.
Le 25 mai 2018, le RGPD devient applicable en France.
Depuis 1973, la quantité de données n’a cessé d’augmenter.
Aujourd’hui, il existe des centaines de milliards d’informations sur les individus en ligne, et toutes ces données sont à la base du développement de l’économie numérique.
Les entreprises cherchent constamment à mieux connaître leurs clients afin d’améliorer leur produits et service mais aussi leur ciblage, donc toutes ces données ont énormément de valeur.
Il n’est ainsi pas rare que des entreprises peu scrupuleuses monnaient la liste de leurs clients auprès du plus offrant… (aucun risque, pas de ça chez Soan !).
Et c’est comme ça que vous vous retrouvez avec une pub pour des costumes pour chiens et chats dans votre boîte mail.
Le problème de la collecte des données, outre l’inondation de votre boîte perso par des Bouledogues habillés en Batman, c’est que le croisement de nos données spatiaux temporelles permettent facilement de déterminer des données personnelles telles que notre lieu d’habitation, notre identité et même nos préférences.
À terme, ces profilage peuvent même permettre d’anticiper nos comportements et nos modes de pensées et de les influencer (comme lors d’un vote par exemple… ou d’un autre…).
C’est là que le RGPD entre en scène !
Face à la montée de l’inquiétude concernant le traitement des données personnelles, il vient renforcer le droit des personnes et responsabilise l’ensemble des acteurs des traitements de données en renforçant les sanctions des CNIL européennes.
C’est ainsi la mission de la CNIL de chaque pays d’informer les particuliers de leurs droits et les professionnels de leurs obligations, mais aussi d’accompagner et de conseiller ces derniers dans leur mise en conformité avec la législation européenne. Enfin c’est la CNIL qui effectue les contrôles de conformité et qui sanctionne les professionnels ne respectant pas le RGPD.
Selon la CNIL, “le RGPD encadre la mise en œuvre des traitements de données à caractère personnel. Il fixe les conditions dans lesquelles de telles données peuvent être légalement collectées, conservées et exploitées par les organismes.”
Deux définitions sont donc nécessaires : “données à caractère personnel” et “traitement”.
Alors là attention, c’est vaste !
Les données à caractère personnel englobe :
Pour les données directement identifiantes, pas besoin de vous faire un dessin.
Il s’agit de toutes celles qui indiquent clairement l’identité de la personne ( donc nom, prénom, email, photo etc…). Ce sont les données qu’on retrouvent régulièrement sur les relevés de compte bancaire, les devis, les factures, les fichiers clients etc…
Les données indirectement identifiantes sont un petit peu moins évidentes.
Elles entrent en jeu lorsque des données identifiantes sont remplacées par un identifiant comme un numéro de dossier ou de téléphone.
Certes, cette donnée seule ne permet pas d’identifier le particulier, mais un simple croisement avec une base de données spécifique permet de retrouver l’identité de l’individu.
Enfin la dernière catégorie concerne les informations qui ne permettent pas de retrouver l’identité d’une personne par elle même ou en étant associées à une base, mais dont la combinaison avec d’autres informations permettent parfois d’identifier la personne de manière unique.
Par exemple, certes l’âge, la profession, la taille, la rue dans laquelle vous habitez et l’endroit et la date de vos dernières vacances ne suffisent pas en elles-mêmes à vous identifier. Mais en croisant toutes ces informations, il est assez facile de vous retrouver de manière certaine.
Selon la CNIL, “est un traitement toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel (…)”
Donc sont des traitements selon le RGPD des actions comme :
– Collecte ;
– Enregistrement ;
– Structuration ;
– Conservation ;
– Transmission ;
– Modification ;
– Extraction ;
– Communication ;
– Mise à disposition ;
– Rapprochement.
Soyons honnête, pratiquement tout le monde !
Un organisme doit respecter la RGPD à partir du moment où il se trouve sur le territoire de l’Union Européennes ou qu’il traite des données personnelles de personnes se trouvant sur le territoire de l’UE. Donc très probablement vous !
Le Règlement ratisse très large et englobe les entreprises, les administrations, les collectivités, les associations et tous les acteurs susceptibles de traiter de la donnée personnelle.
Et ça ne concerne pas uniquement le responsable du traitement ! Le sous-traitant est concerné aussi, il n’est donc pas possible de se cacher derrière la responsabilité d’un autre.
C’est pour ça que vous devez toujours prendre garde à la manière dont vous gérez les données de vos clients ! Vous ne pourrez pas vous dédouaner même si la faute incombe à l’un des outils que vous utilisez.
Voilà qui conclut notre premier tour d’horizon de la RGPD !
Normalement à ce stade vous avez une vision un peu plus claire de ce qu’est la RGPD mais surtout vous avez … des questions : “comment dois-je stocker les données de mes maîtres d’ouvrage ?”,”qu’est-ce que je peux demander comme informations ?”, “quels outils sont conforme à la RGPD ?” etc etc…
Pas de panique ! Toutes les réponses à ces questions et bien plus arrivent très bientôt dans la deuxième partie de cette série !
En attendant, en cas de doute urgent, la CNIL a mis en ligne beaucoup de documents utiles pour s’informer sur le sujet.
D’ici là, si vous avez aimé cet article et que vous connaissez des gens concernés par la RGPD (et on vous le rappelle, c’est pratiquement tout le monde !), partagez cet article avec eux !
Merci d’avoir pris le temps de lire notre article ! N’hésitez pas à visiter notre blog 🙂
Rendez-vous sur le blog Soan ou abonnez-vous à nos réseaux sociaux : LinkedIn, Facebook ou Youtube.