Le Règlement Général sur la Protection des Données (RGPD) a été mis en place en 2018 afin de réguler la façon dont les entreprises collectent, stockent et utilisent les données des citoyens européens. Cependant, il reste encore peu connu ou mal compris, tant par les entreprises que par les utilisateurs. Dans cet article, vous trouverez cinq mythes très répandus sur le RGPD, tous suivis d’une correction et explication pour vous permettre de comprendre ce que ce règlement autorise ou interdit réellement.
Pour ceux qui ont déjà entendu parler du RGPD, une idée assez répandue est qu’il s’applique uniquement aux entreprises basées en Europe. Mais cette idée est en réalité fausse car le RGPD s’applique à toutes les entreprises qui traitent des données personnelles des individus résidents en Europe, peu importe la localisation de l’entreprise en question. Cela s’applique donc aux entreprises européennes mais aussi à d’autres, dans le but de protéger les données des résidents européens.
Par exemple, si une entreprise américaine est basée aux Etats-Unis et vend des produits à des citoyens européens ou collecte leurs données personnelles, elle doit tout autant respecter les règles du RGPD qu’une entreprise française basée en France.
Beaucoup pensent qu’avec les règles émises par le RGPD, leurs données personnelles sont protégées et personne ne peux les collecter. En réalité, si le RGPD impose des règles et conditions strictes par rapport à l’utilisation et l’accès aux données des individus, il n’interdit pas la collecte totale de ces dernières. Le but n’est pas de « punir » les entreprises, mais de permettre aux utilisateurs de savoir de quelle manière et pourquoi certaines de leurs données sont collectées.
On peut donc retenir deux points importants dans cette collecte : les données collectées sont seulement celles nécessaires à la réalisation d’un objectif particulier, et les utilisateurs doivent être informés de la meilleure manière possible de cette pratique.
Par exemple, beaucoup d’entreprises collectent aujourd’hui les adresses électroniques de leurs utilisateurs afin de leur envoyer une newsletter. Cette pratique est légale si l’utilisateur a exprimé son consentement et qu’il a la possibilité de se désabonner à cette newsletter sans problème.
Penser que le RGPD autorise la collecte de données personnelles pour pouvoir les utiliser plus tard « au cas où » on en aurait besoin, est une idée reçue. En effet, cette pratique est interdite par le RGPD puisqu’il s’agit d’un stockage de données d’utilisateurs sans but précis à la fin, ce qui nous ramène au principe présenté au point précédent : les données collectées doivent seulement être celles qui sont nécessaires à la réalisation d’un objectif particulier.
Par exemple, une entreprise de commerce en ligne peut collecter des données comme le nom, prénom, ou l’adresse d’un client afin d’assurer la commande et la livraison d’un produit, mais elle ne doit pas collecter des données comme les centres d’intérêts ou les préférences pour de possibles campagnes marketing dans le futur, sans plan précis, sauf si l’utilisateur en est conscient et a exprimé son consentement.
Penser que le RGPD ne représente qu’une protection contre les cyberattaques et est une forme de sécurité informatique est un autre mythe populaire. Si cela représente une partie importante, ce n’est pas l’unique finalité du RGPD. En effet, il est essentiel de savoir que les entreprises doivent faire preuve de transparence en expliquant de façon claire et compréhensible comment elles réunissent et utilisent les données personnelles des utilisateurs, mais aussi que ces derniers ont des droits en ayant accès à leurs données qu’ils peuvent rectifier ou supprimer.
A nouveau, cela s’applique aux entreprises européennes mais aussi à celles hors Europe qui sont en contact avec des résidents européens.
Enfin, les entreprises pensent souvent que le RGPD est une contrainte coûteuse qui leur impose des charges trop importantes par rapport aux bénéfices qu’ils pourraient en tirer. Cependant, il s’agit là aussi d’une idée reçue. Certes la mise en conformité initiale représente un investissement pour l’entreprise, mais le RGPD permet tout de même à cette dernière de renforcer la confiance des clients, de protéger face à de possibles amendes lourdes, et d’améliorer la sécurité des données des utilisateurs. Tout cela peut donc amener à une fidélité accrue de la clientèle de l’entreprise, renforçant ainsi sa réputation et son image. Il est donc important de voir le RGPD comme un investissement stratégique et non pas comme une contrainte.
Finalement, le RGPD représente un énorme atout pour les entreprises sur plusieurs points. En corrigeant ces cinq idées reçues, il paraît essentiel que chaque entreprise applique ce règlement, non seulement pour leur activité mais aussi pour la protection des données de leur client.
