RGPD (Règlement Général sur la Protection des Données)

Le RGPD (Règlement Général sur la Protection des Données — Règlement UE 2016/679 du 27 avril 2016, GDPR en anglais) est entré en application le 25 mai 2018, après une période de mise en conformité de 2 ans. Il abroge la directive 95/46/CE et harmonise au niveau européen la protection des données personnelles des résidents de l'UE. Il impose à toute organisation (publique ou privée) qui traite des données personnelles des résidents européens (où qu'elle soit basée géographiquement) : (1) information claire et transparente des personnes concernées (mentions légales art. 13 et 14), (2) base légale du traitement (consentement explicite, contrat, obligation légale, intérêt légitime, mission publique, sauvegarde intérêt vital), (3) respect des droits des personnes (accès, rectification, suppression dite « droit à l'oubli » art. 17, portabilité, opposition, limitation), (4) registre des traitements art. 30 (obligatoire au-delà de 250 salariés, ou si traitement régulier de données sensibles, ou de mineurs), (5) désignation d'un DPO (Data Protection Officer) si applicable selon nature des traitements, (6) notification de violation de données à la CNIL sous 72 heures (art. 33) et information des personnes affectées si risque élevé, (7) analyse d'impact (PIA — Privacy Impact Assessment) sur traitements à risque élevé. Contexte d'usage typique pour la métallerie B2B : (a) formulaires de devis et contact en ligne (consentement explicite + mention durée conservation), (b) base de données prospection commerciale (durée 3 ans après dernier contact pour B2B, base intérêt légitime), (c) données salariés (registre traitement RH, durée 5 ans après départ), (d) données techniciens en intervention chez clients (accès logs accès, photos chantiers, données techniques équipements), (e) vidéosurveillance bureaux ou ateliers (information visible, durée 1 mois max, déclaration CNIL sous certaines conditions), (f) sous-traitance avec hébergeur cloud et CRM (contrat de sous-traitance art. 28 obligatoire). Sanctions : amende administrative pouvant atteindre 4 % du chiffre d'affaires mondial annuel ou 20 millions d'euros (le montant le plus élevé), en plus des sanctions civiles et pénales. Exemple chiffré : amende moyenne CNIL en 2024 pour PME française 8 000 à 50 000 €, pour grand compte 1 à 90 millions €. Coût de mise en conformité initial PME 5 000 à 25 000 € HT (audit, refonte process, formation, registre). Synonymes terrain : GDPR, protection données, vie privée, données nominatives, données personnelles. Référence légale : Règlement UE 2016/679 (RGPD), Loi Informatique et Libertés du 6 janvier 1978 modifiée 2018, recommandations CNIL (notamment guides sectoriels), Code pénal articles 226-16 à 226-24. IEF & CO dispose d'une politique de confidentialité publiée et conserve les données de prospection commerciale conformément aux durées légales (3 ans en B2B).