{"id":2453,"date":"2018-01-31T15:53:20","date_gmt":"2018-01-31T14:53:20","guid":{"rendered":"http:\/\/blog.nextdoor.fr\/?p=2453"},"modified":"2025-08-28T15:20:57","modified_gmt":"2025-08-28T13:20:57","slug":"rgdp-donnees-perso-data-reglementation","status":"publish","type":"post","link":"https:\/\/www.wojo.com\/blog\/fr\/la-boite-du-futur\/rgdp-donnees-perso-data-reglementation\/","title":{"rendered":"[RGPD] Donn\u00e9es personnelles : et si on arr\u00eatait de les stocker ?"},"content":{"rendered":"

Vous l\u2019ignorez peut-\u00eatre, mais depuis 2007 le 28 janvier est la journ\u00e9e internationale de la protection des donn\u00e9es. Le sujet vous indiff\u00e8re ou vous d\u00e9courage ? Pourtant, l\u2019Europe vous pr\u00e9pare de nouvelles obligations qui vous vaudront de mettre \u00e0 jour vos contrats, votre site internet, vos formulaires de contact, briefer votre \u00e9quipe marketing... Sinon\u00a0? Des sanctions allant jusqu\u2019\u00e0 20 millions d\u2019euros \u00a0ou 4% du CA.\u00a0<\/strong>Il s\u2019agit du <\/strong>RGPD<\/a> ou R\u00e8glement G\u00e9n\u00e9ral sur la Protection des Donn\u00e9es, adopt\u00e9 par l\u2019Union europ\u00e9enne en avril 2016 et applicable le 25 mai 2018\u2026<\/strong><\/p>\n

L'affaire peut sembler r\u00e9barbative, mais elle repr\u00e9sente un enjeu qui pourrait bien changer la face du monde. Car c'est bien de notre avenir, qu'il s'agit : l\u00e9gif\u00e9rer sur la circulation et l'usage qui est fait de nos donn\u00e9es les plus personnelles n'est certes pas un luxe. Voire, devient urgent quand on voit \u00e0 quelle vitesse les objets connect\u00e9es envahissent notre vie. Le RGPD est une premi\u00e8re brique, \u00e0 charge pour l'entreprise de s'emparer du sujet.<\/p>\n

Plut\u00f4t que d\u2019errer l\u2019\u00e2me en peine sur internet, d\u00e9chiffrer les 99 articles de loi aff\u00e9rents, nous avons pr\u00e9f\u00e9r\u00e9 nous faire expliquer tout ceci par une avocate sp\u00e9cialis\u00e9e du cabinet Herbel Avocats\u00a0: Elodie Herbel<\/a>, qui a amicalement jou\u00e9 \u00ab\u00a0les d\u00e9codeurs\u00a0\u00bb. La vocation du RGPD se r\u00e9sume ainsi\u00a0: \u00e0 partir de mai 2018, toute entreprise devra \u00eatre en mesure de dire pourquoi elle stocke des donn\u00e9es personnelles et comment elle les prot\u00e8ge.
\n<\/strong>
\n\u00c0 lire aussi : Le RGPD : tous concern\u00e9s !<\/a>
\n<\/strong><\/p>\n

0 \u2013 Pourquoi on nous emb\u00eate ?<\/h2>\n

Parce qu\u2019\u00e0 ce jour, la majorit\u00e9 des internautes n\u2019ont pas connaissance des donn\u00e9es r\u00e9colt\u00e9es \u00e0 leur insu, de pourquoi elles le sont, ni de leur valeur\u2026 Il suffit de voir ce que nous d\u00e9versons sur \u00ab\u00a0Facebook&Cie\u00a0\u00bb pour mesurer \u00e0 quel point nous sommes insouciants. Or \u00e0 l\u2019heure de l\u2019intelligence artificielle (IA), tous les moyens sont bons pour collecter toujours plus de donn\u00e9es\u00a0<\/a>: il \u00e9tait temps d\u2019agir.<\/p>\n

Sachez par ailleurs que 3700 cyberattaques sont d\u00e9jou\u00e9es dans le monde chaque seconde (source Ciscosytem) et que 91% des fuites auraient pu \u00eatre \u00e9vit\u00e9es<\/strong>... si les entreprises s\u2019\u00e9taient dot\u00e9es de mesures de s\u00e9curit\u00e9 suffisantes\u00a0: les contraindre \u00e0 un peu plus de responsabilit\u00e9 (stocker moins d\u2019infos et se donner les moyens de se prot\u00e9ger) est donc une bonne chose.<\/p>\n

Alors, ne r\u00e2lez plus\u00a0: c\u2019est pour notre bien et cela irait m\u00eame plut\u00f4t dans le bon sens.<\/p>\n

1 \u2013 RGPD, de quoi parle-t-on\u00a0?<\/h2>\n

Pour le l\u00e9gislateur, la notion de Donn\u00e9e \u00e0 Caract\u00e8re Personnel (DPC)<\/strong> recouvre toutes les donn\u00e9es qui permettent de nous identifier physiquement. Cela commence d\u00e8s le libell\u00e9 de notre adresse e-mail. Le nom, l\u2019adresse, le num\u00e9ro de t\u00e9l\u00e9phone, mais aussi l\u2019adresse IP, que l\u2019on a transmis par exemple en mettant notre carte de fid\u00e9lit\u00e9 Youpiejed\u00e9pense \u00e0 jour\u2026, le num\u00e9ro de s\u00e9curit\u00e9 sociale, informations bancaires, etc.<\/p>\n

Ne vous laissez pas pi\u00e9ger\u00a0: cette notion englobe les donn\u00e9es de vos clients\/utilisateurs, cela va sans dire, mais aussi celles de vos collaborateurs, prestataires, sous-traitants et \u00e9cosyst\u00e8me. <\/strong><\/p>\n

D\u00e8s que vous recueillez ces donn\u00e9es et les transf\u00e9rez, vous courrez le risque de vous faire hacker (et faites courir ce risque \u00e0 ceux dont vous avez recueilli les donn\u00e9es).<\/strong><\/p>\n

BON \u00c0 SAVOIR
\n<\/strong>Finalement, d\u00e8s qu\u2019une Data est reli\u00e9e \u00e0 une personne physique r\u00e9elle, c\u2019est une donn\u00e9e personnelle. Un algorithme qui permet d\u2019identifier votre visage sur une photo et de vous nommer (sans vous en avoir express\u00e9ment demand\u00e9 l\u2019autorisation), viole vos droits.<\/strong><\/p>\n

2 \u2013 Qui est dans le viseur\u00a0?<\/h2>\n

Si vous lisez ces lignes, il y a fort \u00e0 parier que votre entreprise est concern\u00e9e.<\/p>\n

Toutes les entreprises localis\u00e9es au sein d\u2019un pays membre de l\u2019UE le sont.<\/strong> Mais aussi les autres, d\u00e8s lors qu\u2019elles collectent, traitent ou stockent des DCP issues de r\u00e9sidents de l\u2019UE\u00a0: par cons\u00e9quent, m\u00eame si vous appartenez \u00e0 un groupe bas\u00e9 aux Etats-Unis, le simple fait d\u2019avoir des collaborateurs europ\u00e9ens vous implique.<\/p>\n

L\u2019application territoriale du r\u00e8glement n\u2019a donc pas de fronti\u00e8re\u00a0: d\u00e8s l\u2019instant o\u00f9 les donn\u00e9es trait\u00e9es sont relatives \u00e0 l\u2019offre de biens ou de services ou \u00e0 des personnes qui se trouvent dans l\u2019Union europ\u00e9enne, la loi s\u2019applique. Donc, oui, les GAFA y auront droit<\/strong>\u00a0!<\/p>\n

Renseignez-vous\u00a0! O\u00f9 sont localis\u00e9s vos data centers\u00a0?<\/strong><\/p>\n

Ils sont \u00e0 l\u2019ext\u00e9rieur de l\u2019Union europ\u00e9enne, dans un pays tiers sans protection ad\u00e9quate ? Vous devrez, le cas \u00e9ch\u00e9ant, en avertir vos collaborateurs et clients et obtenir leur consentement explicite avant de transf\u00e9rer leurs donn\u00e9es personnelles.<\/p>\n

Et si une entreprise fait appel \u00e0 un sous-traitant\u00a0? Elle devra s\u2019assurer que ce dernier est en mesure de respecter le RGPD\u00a0: impossible de pr\u00e9tendre que l\u2019on n\u2019avait pas connaissance de la politique de traitement des donn\u00e9es personnelles de ce dernier (oui, l\u00e0, c\u2019est moins dr\u00f4le\u2026).<\/p>\n

De la m\u00eame fa\u00e7on, le sous-traitant ne pourra pas se retrancher derri\u00e8re la demande de son donneur d\u2019ordre, responsable du traitement. Quand bien m\u00eame il agit uniquement au nom et pour le compte de ce dernier\u2026<\/p>\n

3 \u2013 Qu\u2019est-ce qui change avec le RGPD ?<\/h2>\n

Souvenez-vous\u00a0: la LIL<\/a> (Loi informatique et libert\u00e9s du 6 janvier 1978) qui portait cr\u00e9ation de la CNIL<\/a> (Commission nationale de l\u2019informatique et des libert\u00e9s), fixait d\u00e9j\u00e0 les principes de base\u00a0: collecte de donn\u00e9es corr\u00e9l\u00e9e \u00e0 la finalit\u00e9 du traitement, loyaut\u00e9 (avertir l\u2019int\u00e9ress\u00e9), droit d\u2019opposition et enfin, sauf exception, interdiction de collecter des donn\u00e9es \u00ab\u00a0sensibles\u00a0\u00bb (origine raciale, religion\u2026).<\/p>\n

D\u00e9sormais, vous n\u2019aurez plus de d\u00e9claration \u00e0 faire aupr\u00e8s de la CNIL, celle-ci devenant un organe de contr\u00f4le (qui op\u00e8rera dans un premier temps de fa\u00e7on al\u00e9atoire).<\/p>\n

Ce qui \u00e9volue en revanche, c\u2019est l\u2019obligation toujours plus pouss\u00e9e d\u2019avertir le citoyen et de lui donner les moyens d\u2019agir ou r\u00e9agir. Tout en fixant les cas dans lesquels le consentement \u00e9clair\u00e9 de l\u2019individu est requis. L\u2019id\u00e9e est de redonner aux personnes concern\u00e9es le contr\u00f4le de leurs donn\u00e9es personnelles. Changement de prisme donc\u00a0: focus sur les risques pour les personnes concern\u00e9es et non pour l\u2019entreprise. Les principes \u00e0 se mettre en t\u00eate sont alors les suivants\u00a0:<\/p>\n