Si vous êtes un prestataire de services d’infogérance ou une entreprise de services du numérique (SSII – ESN) implanté en Europe, vous connaissez sans doute le Règlement général sur la protection des données (RGPD). Ce texte a été adopté en avril 2016 par le Parlement européen.
Le RGPD est un ensemble de dispositions visant à fournir une norme unifiée et à renforcer la protection des données des citoyens européens pour toutes les transactions réalisées dans les 28 États membres de l’Union Européenne. Il est entré en vigueur aujourd’hui et, comme toute nouvelle législation réglementaire, il doit être appliqué rigoureusement. Mais il faut aussi noter que ce texte créé beaucoup de confusion, notamment en ce qui concerne les SSII.
Voici cinq questions-clés que vous devriez vous poser à propos de cette nouvelle réglementation.
Fournisseur de services – Le RGPD vous concerne-t-il ?
Que vous soyez un fournisseur de services implanté dans l’un des 28 pays de l’UE ou non, vous devez toujours vous soumettre à cette nouvelle réglementation. En effet, le RGPD ne concerne pas les entreprises, mais les données personnelles concernant les citoyens de l’UE.
Du moment que votre organisation stocke ou traite des informations appartenant à ces citoyens, vous relevez donc de la juridiction de l’UE, quelle que soit votre localisation géographique. En d’autres termes, que ce soit vous ou vos clients qui faites des affaires dans l’UE, il est fort probable que vous tombiez dans le cadre du RGPD.
Êtes-vous un contrôleur ou un processeur de données ?
Le RGPD s’applique tant aux contrôleurs (responsables de traitement) qu’aux processeurs (sous-traitant) de données. Pourtant, chacun joue un rôle différent.
Selon l’article 4 du RGPD de l’UE :
Le responsable du traitement se définit comme « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui — seul ou conjointement avec d’autres intervenants — détermine les finalités et les moyens de traitement des données personnelles ».
- Le sous-traitant est « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
- Un responsable du traitement est donc un opérateur qui recueille les données de ses clients. Les sous-traitants seraient la tierce partie qui stocke, conserve ou traite ces données.
Il faut savoir qu’en tant que fournisseur de services, chacun de vos clients qui traite des données personnelles doit vous fournir des informations documentées concernant sa désignation (contrôleur ou processeur).
À ce moment-là, vous devez également déterminer votre rôle. Si votre entreprise peut, d’une manière ou d’une autre, affecter la confidentialité, l’intégrité ou la disponibilité des données de vos clients, alors elle peut être considérée comme un sous-traitant.
Par contre, si celle-ci s’engage directement auprès des autorités chargées de la protection des données à se conformer à toutes les obligations concernant le RGPD, alors elle peut être classée comme un contrôleur. Vous devez donc satisfaire à des exigences plus strictes.
Quel type de données entre-t-il dans le champ d’application du RGPD ?
Quand on parle de RGPD, le terme « données personnelles » prend un sens plus large, comparé à sa définition traditionnelle.
De nos jours, ce terme fait référence aux :
- Informations de base telles que le nom, l’adresse et les numéros d’identification d’une personne
- Données web telles que les adresses IP et les données à caractère personnel collectées par les cookies
- Données sanitaires, biométriques et génétiques
- Données personnelles relatives aux orientations raciales, ethniques et sexuelles
- Opinions politiques, aux croyances religieuses et l’appartenance syndicale.
Quelles sont vos responsabilités ?
Il y a encore beaucoup d’ambiguïté au sujet du RGPD. Entre autres, certaines responsabilités telles que l’obligation d’assurer un niveau « raisonnable » de protection des données concernant les citoyens de l’UE ne sont pas encore bien définies.
Pourtant, ce qui est certain, c’est qu’en cas d’atteinte à la protection des données de l’un de vos clients, l’incident devra être signalé par les deux parties aux autorités compétentes, sous 72 heures.
C’est notamment le cas lors d’une perte, une altération, une divulgation des données à caractère personnel, ou bien lorsqu’un tiers a un accès non autorisé à ces informations.
D’où la nécessité d’une grande transparence entre vous et vos clients. Cette transparence concerne non seulement la collecte des données, mais aussi leur conservation, leur utilisation, leur propriété, etc.
Le fait d’être soumis au RGPD vous coûtera-t-il quelque chose ?
Il n’y a aucune taxe ni frais associé au RGPD. Pourtant, vous vous exposez à des amendes très sévères en cas de non-conformité. Pour éviter cela, il est impératif que vous conserviez une documentation détaillée des pratiques de sécurité que vous allez adopter ainsi que les mesures à prendre en cas de violation.
La raison est que le montant de l’amende peut varier en fonction de la façon dont votre entreprise réagit à une infraction.
Le RGPD est-il opportunité pour les fournisseurs de services d’infogérance et d’IT ?
Les fournisseurs de services ne devraient pas considérer le RGPD comme une mesure complexe qui impliquera des coûts supplémentaires.
Ils doivent plutôt considérer cela comme une occasion unique et réelle de faire croître leur entreprise. Pour ce faire, ils peuvent solliciter leurs clients à se conformer aux nouvelles exigences en matière de protection de données.
Comme de nombreuses entreprises n’auront pas encore les ressources ni les connaissances nécessaires pour se conformer au RGPD — d’autant plus qu’il existe encore beaucoup de confusion à ce sujet — un fournisseur de services qui sera capable d’apporter plus de clarté et de conformité pour les services qu’il propose aura donc un énorme avantage concurrentiel.