Avant de pouvoir définir ce qu'est le RGPD, il est bon tout d'abord de définir ce qu'est une donnée personnelle. Selon Wikipédia, une donnée personnelle est "toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement à l'aide d'un ou plusieurs identifiants".
Avec cette définition d'une donnée personnelle on peut désormais se pencher sur ce qu'est le traitement de données personnelles.
Bien que cette notion soit plutôt large, le CNIL et le service public s'accordent sur le fait que cela soit "un ensemble d'opérations portant sur des données personnelles quel que soit le procédé utilisé (collecte, enregistrement, conservation, utilisation, ...)" cependant on dénote une limite à au traitement, ce dernier doit tout le temps avoir un objectif légal et légitime, on ne peut pas collecter de données dans le seul but de le faire.
Le RGPD (Réglement Général sur la Protection des Données) sert à encadrer ces traitements de données personnelles en consolidant les droits des personnes via certaines mesures comme le droit à l'oubli (« la possibilité offerte à toute personne concernée par un traitement de ses données à caractère personnel, d'en demander l'effacement et/ou le déréférencement si le responsable du traitement est un moteur de recherche. ») ou la portabilité des données personnelles qui offre la possibilité de récupérer une partie de ses données dans un format lisible par une machine.
Protéger les personnes qui fournissent leurs données personnelles mais cela implique que dans l'autre sens, les organismes en charge des traitement des données personnelles soient responsabilisés comme l'indique l'article 37-1:la possibilité de désigner un délégué à la protection des données.
Cette réglementation est destinée à tout organisme résidant dans un pays membre de l'Union Européenne ou dans un pays tiers mais proposant des services à des citoyens européens. À noter que tout sous-traitants qui traitent des données personnelles pour le compte d'autres organismes est aussi soumis à la réglementation.
Le RGPD représente un facteur de confiance puisqu'une entreprise se conformant à ses normes offrira une meilleure image de confiance à ses clients. Une image de confiance signifie que ces derniers seront plus enclins à transmettre leurs données.
D'un autre côté, une entreprise ne se conformant pas à la réglementation se verra très sévérement pénalisé, tout d'abord par l'application de sanctions pécuniaires pouvant s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4% du chiffre d'affaires annuel mondial.
Sachant que ces sanctions peuvent être rendus publiques, les entreprises sont d'autant plus encouragées à se familiariser avec la réglementation et de s'y conformer. En effet en vue de ces potentiels facteurs impacter leur futur, les entreprises ont d'or et déjà commencé à allouer un budget pour leur transition vers une gouvernance favorable et conforme au RGPD. De plus l'entreprise en attend de même à ses prestataires puisque un sous traintant ne respectant pas le RGPD engendre la non conformité de l'entité juridique. Une société sous traitante ne pouvant pas se conformer aux réglementations sera aussitôt écarté.
Si la conformité au RGPD reste un enjeu majeur pour les entreprises, elle reste avant tout de renforcer leur sécurité puisque cette nouvelle réglementation met à jour la législation tout en répondant aux nouvelles problématiques posées par l'internet et son évolution constante.
Les bases de données occupant une place de plus en plus importante au sein des entreprises, le RGPD incombe à ces dernières de repenser complètement leur politique interne et leur système de protection informatique afin d'offrir de réelles garanties de sécurité à ses utilisateurs et d'empêcher toute dérive liées à la gestion des données.
La problématique de l'identité est d'autant plus prévalente à l'heure du numérique lorsque la question qui domine est "Qui a le droit de savoir quoi et sur qui ?".
Un des axes principaux du RGPD étant de mettre une durée sur la détention des données utilisateur et une raison pour cette détention, la réglementation vient renforcer la défense de l'individu et de ses droits dans l'habitat européen.
La première étape dans la compréhension du RGPD et dans son application est d'abord de désigner une personne qui sera chargé d'assurer la mise en conformité réglement européen: un délégué à la protection des données (DPD ou DPO en anglais). Cette personne peut être interne à l'entreprise, si elle dispose des qualifications nécessaires, ou externe en faisant appelle à un cabinet de conseils.
Le DPD aura pour mission d'informer l'organisme sur les notions à appliquer, de contrôler le respect de ces notions et coopérer avec l'autorité de contrôle. Le délégué agit ici comme levier principal pour l'entreprise en sensibilisant, en informant sur le RGPD et en concevant des actions de sensibilisations sur le sujet afin que l'entreprise et ses sous-traitants saisissent les tenants et aboutissants du réglement européen.
La deuxième étape est d'identifier toutes les données concernées par la réglementation:
La troisième étape consiste à identifier des pratiques à risque pour les droits et libertés des personnes concernées. Après avoir identifier ces pratiques, votre DPD et une équipe devront réaliser une AIPD (analyse d'impact relative à la protection des données). Une AIPD est une analyse "aidant à construire des traitements de données respectueux de la vie privée et permettant de démontrer la conformité de son traitement au RGPD." (source CNIL). Cette dernière repose sur 2 piliers:
La quatrième étape est de réorganiser les méthodes et processus de travail en lien avec les traitements de données personnelles afin que dans le futur ces derniers soient en accord avec le RGPD. En réorganisant ces processus, le DPD met l'accent sur la prise en compte de la protection des données personnelles dès le début d'un traitement, sur l'organisation des informations liées à ces traitements en communicant plus efficacement vis-à-vis de ces données au sein de l'organisme et enfin sur les procédures à appliquer lors des réclamations des personnes concernées quant à l'exercice de leurs droits (retractation, droit d'accès, de rectification, ...).
Enfin la dernière étape repose sur votre communication sur votre conformité au réglement, pour cela une documentation sera constitué avec l'aide du DPD avec comme contenu une liste des étapes réalisées lors de cette analyse, leurs encadrements, les informations concernées et vos contrats avec vos sous-traitants entre autres.