Collecter des donnĂ©es, câest comme manipuler de la nitroglycĂ©rine : utile, mais Ă manier avec prĂ©caution. Câest exactement ce que le RGPD vient encadrer.
đ RGPD, kĂ©sako ?
Le RĂšglement GĂ©nĂ©ral sur la Protection des DonnĂ©es (RGPD ou GDPR en anglais), câest le texte europĂ©en de rĂ©fĂ©rence qui encadre la collecte, le traitement, et la protection des donnĂ©es personnelles des citoyens de lâUE.
Entrée en vigueur : 25 mai 2018
Juridiquement : RĂšglement UE 2016/679
ApplicabilitĂ© : immĂ©diate dans tous les Ătats membres, sans transposition nationale
đŻ Objectif : redonner le contrĂŽle aux citoyens sur leurs donnĂ©es⊠et responsabiliser ceux qui les traitent.
đ€ DonnĂ©e personnelle : de quoi parle-t-on exactement ?
Une donnĂ©e personnelle, câest toute information permettant dâidentifier une personne, directement ou indirectement.
Exemples :
Nom, prénom
Email (pro ou perso)
Adresse IP
Données de santé
Identifiant client, badge entreprise
Enregistrement vocal, image, empreinte digitale
Donnée de géolocalisation
đ MĂȘme un identifiant interne dans un CRM peut devenir une donnĂ©e personnelle sâil peut ĂȘtre rattachĂ© Ă un individu.
đ§ââïž Qui fait quoi dans le RGPD ?
đ Responsable de traitement
Câest lâentitĂ© qui dĂ©termine les finalitĂ©s et les moyens du traitement.
Ex : ton entreprise qui gĂšre un fichier client = responsable de traitement.
đ§âđ» Sous-traitant
Câest celui qui traite les donnĂ©es pour le compte du responsable.
Ex : une sociĂ©tĂ© dâhĂ©bergement, un Ă©diteur SaaS, un prestataire marketing.
đ€ Personne concernĂ©e
Câest la personne physique Ă qui les donnĂ©es appartiennent.
Spoiler : nous tous.
â ïž Le responsable est le principal redevable en cas de manquement. Le sous-traitant doit, lui aussi, respecter certaines obligations, mais la responsabilitĂ© premiĂšre reste en haut de la pyramide.
𧱠Que doit faire une entreprise pour ĂȘtre conforme ?
Voici les grands piliers du RGPD :
| Domaine | Obligations |
|---|---|
| Licéité du traitement | Toujours avoir une base légale (consentement, contrat, obligation légale, etc.) |
| Information claire | Politique de confidentialité, mentions légales, info lors de la collecte |
| Limitation | Ne collecter que les données nécessaires (principe de minimisation) |
| DurĂ©e de conservation | DĂ©finir une durĂ©e, lâafficher, la respecter |
| Sécurité | Mesures techniques et organisationnelles proportionnées aux risques |
| Droits des personnes | AccÚs, rectification, effacement, opposition, portabilité, limitation |
| Traçabilité | Registre des traitements, documentation interne, preuve des consentements |
| Encadrement des sous-traitants | Clauses contractuelles obligatoires, auditabilité, engagement écrit |
| Notification des violations | Alerte à la CNIL sous 72h en cas de fuite de données |
đ MĂȘme un simple formulaire de contact sur un site WordPress est concernĂ©.
đ Les dĂ©clarations RGPD : faut-il toujours signaler Ă la CNIL ?
Bonne nouvelle : plus de déclaration systématique comme avant !
Mais il y a des obligations de documentation interne.
â Obligatoire :
Registre des traitements (Art. 30)
Analyse dâimpact (AIPD / DPIA) si traitement Ă risque Ă©levĂ© (ex. : surveillance massive, profilage, donnĂ©es sensibles)
Notification Ă la CNIL en cas de violation sous 72h
â Plus nĂ©cessaire :
DĂ©clarations classiques Ă la CNIL pour chaque traitement (comme avant 2018)
đ„ Les sanctions RGPD : ça pique.
| Type de manquement | Amende potentielle |
|---|---|
| Manquement mineur (documentation, registre) | JusquâĂ 2 % du CA mondial ou 10 M⏠|
| Manquement grave (base lĂ©gale, violation de droits, sĂ©curitĂ©) | JusquâĂ 4 % du CA mondial ou 20 M⏠|
đ Exemples concrets :
H&M Allemagne : 35 millions dâ⏠pour surveillance abusive des employĂ©s
British Airways : 22 millions dâ⏠pour fuite massive de donnĂ©es
Google : 50 millions dâ⏠pour manque de transparence sur la collecte
Carrefour France : 3 millions dâ⏠pour traitement illĂ©gal de donnĂ©es marketing
𧚠Oui, mĂȘme une entreprise française peut ĂȘtre lourdement sanctionnĂ©e.
đą Exemple dâimpact en entreprise
Cas fictif : TartinâPress, sociĂ©tĂ© de presse locale en ligne
Collecte les mails pour sa newsletter (consentement ? check â )
Analyse les clics via un outil de tracking (profilage ? âĄïž AIPD Ă faire)
Formulaire de contact sur le site (besoin dâinfo claire et registre)
Stocke les contacts indĂ©finiment (đ„ Ă revoir)
Utilise Google Fonts⊠en mode dynamique (â ïž transfert vers les USA)
Résultat : registre incomplet, analyse de risque absente, cookies non conformes⊠On frÎle la mise en demeure.
đ§ Par oĂč commencer ?
Faire lâinventaire des traitements
RĂ©diger un registre RGPD
Mettre à jour vos mentions légales / politique de confidentialité
Revoir vos formulaires et bases légales
Former vos Ă©quipes (notamment marketing, RH, DSI)
Nommer un DPO (obligatoire dans certains cas, recommandé dans tous)
đŻ Conseil bonus : adoptez une dĂ©marche « privacy by design » dans tous vos projets futurs.
đ Conclusion
Le RGPD nâest pas (juste) une usine Ă gaz administrative. Câest un levier de confiance, une bonne pratique dâentreprise, et une obligation lĂ©gale. Le tout, sous la menace dâun gendarme (la CNIL) qui nâa plus peur de dĂ©gainer.
Alors autant jouer la carte de la conformitĂ©… avant que vos donnĂ©es ne deviennent un sujet judiciaire plutĂŽt quâun actif stratĂ©gique.
