Le Règlement Général sur la Protection des Données, ou RGPD, a remanié la manière dont les entreprises traitent les données. Malgré une période de transition qui a laissé le temps aux entreprises et aux organisations de changer leurs politiques, il y a toujours eu beaucoup de confusion autour de ces règles. Afin de garder votre site web aux normes, voici notre article guide pour comprendre le RGPD et ses bonnes pratiques.
Tout savoir sur la mise en conformité RGPD d’un site internet
Qu’est-ce que le RGPD ?
Le RGPD issu de l'acronyme Règlement Général sur la Protection des Données, représente le cœur de la législation européenne sur la confidentialité numérique. En janvier 2012, la Commission européenne a présenté des plans de réforme de la protection des données dans toute l'Union Européenne (UE) afin de rendre l'Europe apte à l'ère numérique.
Le RGPD est un nouvel ensemble de règles conçues pour donner aux citoyens de l'UE plus de contrôle sur leurs données personnelles. Il est mis en place pour simplifier l'environnement réglementaire des entreprises afin que les citoyens et les entreprises de l'Union européenne puissent pleinement profiter de l'économie numérique.
Les réformes sont conçues pour refléter le monde dans lequel nous vivons actuellement et mettent les lois et les obligations - y compris celles relatives aux données personnelles, à la vie privée et au consentement - à travers l'Europe à l'ère d'Internet.
Fondamentalement, presque tous les aspects de notre vie tournent autour des données. Des entreprises de médias sociaux aux banques, aux détaillants et aux gouvernements - presque tous les services que nous utilisons impliquent la collecte et l'analyse de nos données personnelles.
Les types de données considérées comme personnelles en vertu de la législation en vigueur comprennent le nom, l'adresse et les photos. Le RGPD étend la définition des données personnelles afin que quelque chose comme une adresse IP puisse être des données personnelles. Il comprend également des données personnelles sensibles telles que des données génétiques et des données biométriques qui pourraient être traitées pour identifier de manière unique un individu.
Le RGPD est entré en vigueur le25 mai 2018, s'appliquant automatiquement à tous les États membres et à toute organisation internationale qui traite avec des clients et des clients résidents de l'UE. En France, c'est la CNIL (Commission nationale de l'informatique et des libertés) qui est chargée de veiller à la protection des données personnelles et de mettre en place les outils pour engager une démarche de conformité.
Les gestionnaires de données au cœur du RGPD
Le RGPD s'applique à toutes organisations opérant dans l'UE, ainsi qu'à toutes les organisations en dehors de l'UE qui offrent des biens ou des services à des clients ou des entreprises dans l'UE. Cela signifie finalement que presque toutes les grandes entreprises du monde ont besoin d'une stratégie de conformité au RGPD.
Il existe deux types différents de gestionnaires de données auxquels la législation s'applique: les «responsables du traitement» et les «sous-traitants».
Les responsables du traitement sont les principaux décideurs - ils exercent un contrôle global sur les finalités et les moyens du traitement des données à caractère personnel.
Tandis que les sous-traitants agissent au nom et uniquement sur les instructions du responsable du traitement.
Le RGPD impose en fin de compte à un sous-traitant des obligations légales de conserver des enregistrements des données personnelles et de la manière dont elles sont traitées, offrant un niveau de responsabilité juridique beaucoup plus élevé en cas de violation de l'organisation.
Les sept principes du RGPD
Le RGPD définit sept principes clé. Ceux-ci inclus :
Légalité, équité et transparence: les organisations doivent être claires sur les données et la manière dont elles seront collectées.
Limitation de la finalité : les organisations doivent avoir une raison «légitime» pour collecter et traiter des données personnelles. Une fois collectés, ils ne doivent pas être utilisés à d'autres fins, à moins que le consentement n'ait été obtenu.
Minimisation des données : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. En termes simples, cela signifie que les données ne doivent pas être collectées pour le plaisir, mais au lieu de cela, doivent être stockées uniquement à des fins spécifiques.
Exactitude: toutes les données doivent être adaptées et à jour, ce qui signifie que les organisations doivent régulièrement examiner les données qu'elles ont dans leurs dossiers. Les individus peuvent également avoir leur mot à dire sur l'exactitude, et s'ils demandent que des données inexactes ou incomplètes soient effacées ou rectifiées, cela doit être résolu dans les 30 jours.
Limitation de stockage : le RGPD n'indique pas combien de temps vous pouvez conserver les données personnelles, mais si vous n'en avez plus besoin aux fins pour lesquelles elles ont été initialement obtenues, elles doivent être supprimées à moins que de nouvelles autorisations ne soient accordées.
Intégrité et confidentialité : traitant exclusivement de la sécurité, ce principe se concentre de façon générale sur la protection des données que vous détenez, en veillant à ce que toutes les mesures appropriées soient en place pour ce faire. Cela inclut également la protection contre les menaces de cybersécurité externes, comme le phishing, les logiciels malveillants ou le vol de données, pour n'en nommer que quelques-uns. Une mauvaise sécurité pourrait avoir un impact sur votre conformité au RGPD.
Responsabilité : un principe introduit dans le RGPD en particulier, le principe de responsabilité stipule que les organisations doivent assumer la responsabilité des données qu'elles détiennent et démontrer leur conformité avec les six principes mentionnés précédemment.
Il est conseillé que ces principes soient au cœur de l'approche des données de votre organisation. Avant de passer à la suite de l'article, vous pouvez regarder cette vidéo récapitulative qui résume les bases du RGPD.
Qu'est-ce qui est impliqué dans la conformité au RGPD ?
Les données dans le RGPD
Les individus ont le droit de savoir comment leurs données sont traitées, stockées et réglementées. Le fardeau du suivi des données n'appartient plus à la personne concernée, mais au sous-traitant (l'organisation ou le représentant d'une organisation capturant ou stockant des données).
À cette fin, le RGPD exige que chaque sous-traitant dispose d'un responsable de la protection des données (également appelé délégué à la protection des données). La responsabilité principale de ce responsable de la protection des données est similaire à celle d'un responsable de la conformité et est censée gérer toutes les données au sein d'une organisation, y compris, mais sans s'y limiter : les processus informatiques, un registre des activités, un registre des traitements, les problèmes de confidentialité des informations, le stockage et la protection des données, les cyberattaques, les violations de la protection des données et des données personnelles et sensibles.
Le RGPD permet aux régulateurs d'affiner et de moderniser les définitions des données en ce qui concerne un individu. Les données sensibles et personnelles sont protégées par le RGPD, bien que des amendes plus élevées soient infligées pour violation de la protection des données en ce qui concerne les données personnelles sensibles.
Les données personnelles sont toutes les données relatives à une personne vivante qui peuvent aider à l'identification de la personne. Par exemple, des numéros de téléphone, des adresses de domiciles actuels ou anciens, des adresses e-mail ou des données numériques telles que des cookies non anonymisés ou des adresses IP. Les données personnelles sensibles sont un type spécifique de données personnelles qui incluent des détails sur la race, l'appartenance ethnique, les affiliations politiques, la biométrie de la santé, la vie sexuelle ou le casier judiciaire.
Concernant les droits dans le RGPD
En tant qu'individu, le règlement européen sur la protection des données confère à un individu des droits distincts en ce qui concerne les données personnelles. Certains de ces droits comprennent :
Le droit d'accès - cela signifie que les individus ont le droit de demander l'accès à leurs données personnelles et de demander comment leurs données sont utilisées par l'entreprise après leur collecte. La société doit fournir une copie des données personnelles, gratuitement et sous forme électronique sur demande.
Le droit à l'oubli - si les consommateurs ne sont plus des clients ou s'ils retirent leur consentement à une entreprise pour utiliser leurs données personnelles, ils ont le droit de faire supprimer leurs données.
Le droit à la portabilité des données - Les individus ont le droit de transférer leurs données d'un fournisseur de services à un autre. Et cela doit se produire dans un format couramment utilisé et lisible par machine.
Le droit d'être informé - cela couvre toute collecte de données par les entreprises, et les individus doivent être informés avant que les données ne soient collectées. Les consommateurs doivent opter pour la collecte de leurs données et leur consentement doit être donné librement plutôt qu'implicite.
Le droit de faire corriger les informations - cela garantit que les personnes peuvent avoir leurs données mises à jour si elles sont obsolètes, incomplètes ou incorrectes.
Le droit de restreindre le traitement - Les personnes peuvent demander que leurs données ne soient pas utilisées pour les activités de traitement. Leur dossier peut rester en place, mais ne pas être utilisé.
Le droit d'opposition - cela inclut le droit des individus d'arrêter le traitement de leurs données à des fins de marketing direct. Il n'y a pas d'exemptions à cette règle et tout traitement doit s'arrêter dès que la demande est reçue. De plus, ce droit doit être précisé aux individus dès le début de toute communication.
Le droit d'être informé - S'il y a eu une violation de données qui compromet les données personnelles d'un individu, l'individu a le droit d'être informé dans les 72 heures suivant la première prise de connaissance de la violation.
Les sanctions en cas de non-conformité
Des violations de données se produisent inévitablement. Les informations sont perdues, volées ou autrement rendues entre les mains de personnes qui n'avaient jamais eu l'intention de les voir - et ces personnes ont souvent des intentions malveillantes.
L'un des éléments les plus importants du RGPD et dont on parle le plus, est la capacité des régulateurs à frapper les entreprises qui ne se conforment pas à d'énormes amendes.
Si une organisation ne traite pas correctement les données d'un individu, elle peut être condamnée à une amende.
S'il a besoin et n'a pas de délégué à la protection des données, il peut être condamné à une amende.
S'il y a une faille de sécurité, elle peut être condamnée à une amende.
Selon les termes du RGPD, non seulement les organisations doivent veiller à ce que les données personnelles soient collectées légalement et dans des conditions strictes, mais ceux qui les collectent et les gèrent sont tenus de les protéger contre les abus et l'exploitation, ainsi que de respecter les droits des données.
Le non-respect du RGPD peut entraîner une amende allant de 10 millions d'euros à 4% du chiffre d'affaires mondial annuel de l'entreprise, un chiffre qui pour certains pourrait signifier des milliards. Les amendes dépendent de la gravité de la violation et du fait que l'entreprise est réputée pour avoir pris suffisamment au sérieux la conformité et les réglementations en matière de sécurité.
L'amende maximale de 20 millions d'euros ou 4% du chiffre d'affaires mondial, selon le montant le plus élevé, concerne les violations des droits des personnes concernées, le transfert international non autorisé de données à caractère personnel et le défaut de mise en œuvre de procédures ou d'ignorance des demandes d'accès des sujets pour leurs données.
Le RGPD est une question complexe. Nous vous partageons les éléments suivants, qui ne sont que cinq des principaux points à retenir pour que vous puissiez rester conforme au RGPD.
1. Lorsque vous êtes autorisé à traiter des données
Le RGPD énonce six justifications pour le traitement des données. Cela signifie collecter, stocker ou partager des informations privées. Ces justifications sont les suivantes :
Si le traitement est essentiel pour un contrat auquel la personne concernée est partie.
Si vous devez traiter des données pour répondre à vos propres obligations légales.
Si le traitement des données pouvait sauver la vie de quelqu'un.
Si l'utilisation des données est nécessaire pour une tâche d'intérêt public.
Si vous avez un intérêt légitime à utiliser les données de quelqu'un.
Si le sujet des données vous donne un consentement explicite et sans ambiguïté pour les traiter.
2. Recherche du consentement
Pour de nombreuses entreprises, c'est en sollicitant le consentement qu'elles peuvent justifier la collecte ou l'utilisation de données personnelles. En vertu du RGPD, l'autorisation doit être librement donnée et sans ambiguïté. Les demandes de consentement doivent donc être rédigées dans un langage clair et simple.
C'est pourquoi vous recevez des demandes de consentement pour utiliser vos données lorsque vous achetez quelque chose, du logiciel de centre de contact à l'épicerie en ligne.
3. Protection des données
L'article 25 du RGPD stipule que les entreprises doivent par conception et par défaut envisager la protection des données dans tout ce qu'elles font. Cela signifie que chaque nouveau produit, service ou activité doit tenir compte de la protection des données. Pas comme une réflexion après coup, mais comme une évidence.
4. Sécurité des données
Toutes les entreprises doivent gérer les données en toute sécurité. Cela signifie la mise en œuvre de mesures techniques et organisationnelles appropriées. Cela peut aller du cryptage de toutes les transactions financières à la rédaction et à l'adhésion à une politique de confidentialité des données.
5. Responsabilité
Toutes les organisations couvertes par le RGPD doivent toujours démontrer leur conformité. Si vous ne pouvez pas produire de preuve de conformité, votre entreprise n'est pas conforme. Voici quelques suggestions courantes pour maintenir la responsabilité :
Conservez des enregistrements détaillés de toutes les collectes de données, de la manière dont elles sont utilisées et pourquoi.
Formez tout le personnel à vos mesures techniques et organisationnelles de sécurité des données.
Inclure des clauses de confidentialité et de sécurité des données personnelles dans tous les contrats avec des tiers.
Le RGPD est une législation essentielle pour le monde moderne. Si vous avez une présence en ligne, vous rencontrerez des informations sensibles et des données privées. Cela vous soumet à la réglementation. Vous devriez maintenant avoir une idée de ce que cela implique. Pour garantir la mise en conformité, nous vous conseillons de lire la documentation RGPD dans son intégralité.
Vous avez un projet ?
Une question, un doute, un retour d'expérience ou un simple "coucou", nous lisons et répondons à tous vos messages.