Êtes-vous prêt pour l’entrée en vigueur du RGPD ?
Le Règlement Général sur la Protection des Données (RGPD) entrera définitivement en vigueur le 25 mai 2018, remplaçant la directive européenne sur la protection des données (DPD). Ce règlement vise à renforcer la protection des données personnelles et à responsabiliser les entreprises concernant leur traitement.
Pourquoi le RGPD est-il nécessaire ?
Avec l’augmentation des vols de données personnelles et une opacité croissante sur leur usage, la confiance des internautes envers le web s’est érodée. Selon le 5e baromètre de la confiance des Français dans le numérique (publié par la Caisse des Dépôts, Acsel et La Poste), seuls deux Français sur cinq ont confiance dans le numérique. Ce chiffre est préoccupant dans une société où 82 % des Français naviguent quotidiennement sur Internet.
Principales préoccupations des Français :
- Risque de piratage
- Maîtrise des données personnelles
- Usage de leurs données
Qu’est-ce que le RGPD ?
Le RGPD est une directive européenne qui vise à protéger les données personnelles pour éviter les abus. Il impose de nouvelles règles aux entreprises sur la collecte, le stockage et le traitement de ces informations.
Qui est concerné ?
En principe, le RGPD s’applique aux entreprises de plus de 250 salariés réalisant des opérations de traitement de données personnelles. Toutefois, il s’étend à toutes les entreprises, quelle que soit leur taille, qui traitent régulièrement des données à caractère personnel.
Qu’est-ce qu’un traitement de données personnelles ?
Il s’agit de toute opération, automatisée ou non, appliquée à des données personnelles, c’est-à-dire des informations permettant d’identifier une personne physique (identité, adresse, numéro de téléphone, adresse IP, etc.).
Champ d’application du RGPD
Le RGPD concerne toutes les entreprises :
- Etablies en Europe
- Offrant des services à des citoyens européens
- Stockant des données personnelles de citoyens européens
- Effectuant des actions de profilage sur ces citoyens
Quelles sanctions en cas de non-conformité ?
Le RGPD prévoit des sanctions sévères pour les entreprises non conformes, telles que :
- Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour des manquements mineurs.
- Jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour des manquements graves, comme le non-respect des principes de protection des données personnelles.
RGPD et Paiement : Quelles Obligations pour les Acteurs du Paiement ?
La protection des données sensibles (notamment les données bancaires) est une priorité du RGPD. Les entreprises de services de paiement doivent assurer la confidentialité et la sécurité de ces informations.
Traitements spécifiques aux données de paiement
Seules les données strictement nécessaires à la réalisation d’une transaction bancaire peuvent être collectées, telles que :
- Numéro de carte
- Date d’expiration et cryptogramme visuel
- Autres données liées à la lutte contre la fraude
Conservation des données de paiement
Si les données de paiement sont conservées (avec l’accord explicite de l’utilisateur), des mesures spécifiques doivent être mises en place, notamment :
- Masquage du numéro de la carte
- Remplacement du numéro par un code non signifiant
- Traçabilité des accès aux données pour prévenir les utilisations illégitimes
Privacy by Design : Une Démarche Obligatoire
Les acteurs du paiement doivent intégrer le concept de privacy by design dans la conception de leurs systèmes pour protéger les données personnelles. Cela inclut :
- Protection des données dès la conception
- Preuve de mesures techniques et organisationnelles
- Respect de la vie privée tout au long du traitement
- Minimisation des données collectées
Pourquoi le RGPD est important pour notre activité ?
Notre entreprise repose sur un algorithme de calcul du risque, qui utilise des bases de données pour traiter les données personnelles. Le RGPD et l’ouverture des API bancaires augmenteront nos sources de données, ce qui nous amène à traiter davantage d’informations. En 2016, nous avons réalisé un audit de conformité avec la CNIL, qui a validé nos processus rigoureux. Aujourd’hui, nous continuons à améliorer nos solutions, en mettant l’accent sur des sujets tels que le instant payment et la sécurité SSP.
Sources :