Protection des données

Le RGPD, c’est quoi ?


Le règlement général de la protection des données (RGPD) est un règlement européen valable dans toute l’Union européenne et portant sur la manière dont les entreprises et autres organisations doivent se comporter vis-à-vis des données personnelles. Il s’agit de l’initiative la plus importante pour la protection des données depuis 20 ans. Il a d’importantes répercussions pour toute organisation qui propose ses services aux citoyens de l’Union européenne.

Soucieux de permettre aux citoyens de contrôler la manière dont leurs données sont utilisées et de protéger « les droits et libertés des personnes physiques », ce règlement établit des exigences strictes en matière de procédures de traitement des données, de transparence, de documentation et de consentement utilisateur.

Toute organisation doit conserver une archive de ses activités de traitement des données personnelles et en effectuer le suivi.

En tant que responsables du traitement de données, toute organisation doit conserver une archive de ses activités de traitement des données personnelles et en effectuer le suivi. Cela concerne tant les données personnelles traitées au sein de l’organisation que celles traitées par des tiers.

Les tiers incluent aussi bien les fournisseurs de logiciels de service que les services tiers intégrés qui suivent et identifient les visiteurs sur le site de l’organisation.

Tant les responsables du traitement que les tiers doivent pouvoir rendre compte du type de données traitées, du but de leur traitement et des pays et des tiers auxquels les données sont transmises. Les données ne peuvent être transférées qu’à d’autres organisations conformes au RGPD ou à des organisations dont les juridictions sont jugées « convenables ».

Tous les consentements doivent être conservés en tant que preuve que le consentement a été donné.

Le 1er octobre 2019, la Court de justice de l’Union Européenne (CJUE) a décidé que la seule forme de consentement valide dans l’UE est le consentement explicite.

Cela signifie que les sites web doivent obtenir le consentement positif et actif pour tout type de données, pas seulement pour les données personnelles sensibles comme le stipule le RGPD.

La décision de la CJUE sur le consentement valide signifie que le bandeau de consentement de votre site web ne peut pas contenir de cases cochées par défaut pour les catégories de cookies, à l’exception des cookies strictement nécessaires au fonctionnement du site.

Cela s’appelle le consentement préalable.

Les individus bénéficient désormais d’un « droit à la portabilité des données », d’un « droit d’accès aux données » ainsi que d’un « droit à l’oubli », et peuvent retirer leur consentement dès qu’ils le désirent. Dans ce cas, le contrôleur des données sera tenu d’effacer les données personnelles relatives à cet individu si elles ne sont plus nécessaires au but pour lequel elles auront été recueillies.

Dans le cas d’une fuite de données, l’entreprise doit être capable d’avertir les autorités responsables de la protection des données et les individus concernés dans un délai de 72 heures.

De plus, le RGPD oblige les autorités publiques et les entreprises qui manipulent des données personnelles sensibles à grande échelle d’employer ou de former un délégué à la protection des données (DPD). Le DPD doit prendre des mesures pour assurer la conformité à tous niveaux de son organisation avec le RGPD.

À noter qu’à la suite du Brexit, le gouvernement britannique prévoit lui aussi de mettre en place une législation équivalente, similaire au RGPD à maints égards.

Que signifie le RGPD pour mon site ?


Si votre site web dessert des personnes originaires de l’UE et que vous ou des services tiers intégrés (tels que Google et Facebook) manipulez des données personnelles, quel qu’en soit le type, vous devez obtenir un consentement préalable de la part de chaque visiteur.

Pour obtenir un consentement valable, vous devez, avant toute manipulation de données personnelles, décrire l’étendue et la finalité des opérations que vous effectuez sur les données dans un langage facilement compréhensible par les visiteurs.

Ces informations doivent être disponibles pour les visiteurs à tout moment (elles peuvent par exemple faire partie de votre politique confidentialité). Vous devez aussi mettre à la disposition de vos visiteurs une manière facile de modifier ou retirer leur consentement.

Tous les consentements doivent être archivés et tout suivi des données personnelles (y compris de la part de services tiers intégrés) doit être documenté, de même que la liste des pays auxquels les données sont transmises.

Jetez un coup d’œil à la page d’informations de l’UE

Regardez également l’infographie de la Commission européenne.

En quoi Cookiebot CMP vous est utile

La plateforme de gestion des consentements Cookiebot CMP vous permet d’automatiser la conformité de votre site au RGPD en matière de suivi et de consentement.

Cookiebot CMP vous permet de suivre et de documenter tout type de suivi sur votre site, d’afficher les informations pertinentes pour les visiteurs de votre site et d’obtenir et archiver automatiquement tous vos consentements utilisateurs.

Quelle est la définition des données personnelles ?

Le RGPD définit les données personnelles comme étant « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Les identifiants en ligne tels que les adresses IP sont désormais considérés comme des données personnelles, à moins qu’ils ne soient rendus anonymes.

Les données personnelles de pseudonyme sont elles aussi soumises au RDPG à parti du moment où il est possible d’identifier de qui proviennent ces données par ingénierie inverse.

Date d’entrée en vigueur du RGPD : 25 mai 2018


La réforme de la protection des données de l’UE a été adoptée par le Parlement européen et le Conseil européen le 27 avril 2016. Le règlement européen sur la protection des données est applicable depuis le 25 mai 2018.

Pénalités et amendes prévues par le RGPD


Toute organisation non conforme risque de se voir condamnée à payer une lourde amende soit d’un montant de maximum 20 millions d’euros, soit s’élevant à 4 % du chiffre d’affaires annuel mondial de l’organisation, en choisissant le montant le plus élevé.

Liste de contrôle RGPD : 6 choses à faire


1. Préparez votre organisation

Présentez les exigences du RGPD à tous les responsables de votre organisation. Organisez des formations pour vos employés portant sur les principes de cyber sécurité, de « Confidentialité dès la conception » et de « Confidentialité par défaut ». Si nécessaire (c’est-à-dire, si vous employez plus de 250 personnes), nommez un délégué à la protection des données (DPD).

2. Contrôlez vos données

Assurez-vous que vous savez où se trouvent toutes vos données, qui y a accès et sur quels appareils. Identifiez les emplacements où les données personnelles sont traitées, y compris auprès des prestataires tiers. Documentez les motifs justifiant un traitement légal et mettez à jour votre politique confidentialité.

3. Contrôlez vos prestataires de service

Assurez-vous que vos prestataires de service (c-à-d. prestataires de services tiers intégrés à votre site ou fournisseurs de logiciels de service) sont eux aussi conformes au RGPD ou se trouvent dans une juridiction de données où des sanctions officielles s’appliquent. Examinez et cartographiez leurs flux de données internationaux.

4. Obtenez des consentements

Mettez en place des méthodes pour solliciter, obtenir et archiver les consentements pour vous assurer de votre conformité à la loi. Gardez vos archives en ordre pour qu’il soit facile de visualiser à quoi a consenti chaque sujet de données individuelles, tout en fournissant au sujet de données des options lui permettant de révoquer ou de modifier son consentement.

5. Garantissez les droits aux données

Mettez en place des procédures qui permettent à votre organisation de garantir les droits des sujets de données tels que l’accès aux données ainsi que leur rectification ou leur suppression. Documentez la manière dont ces droits sont garantis d’une part pour vos clients, d’autre part pour vos employés.

6. Préparez-vous aux scénarios catastrophe

Assurez-vous d’avoir des procédures en place vous permettant de détecter, analyser et rapporter toute violation des données personnelles afin de pouvoir vous plier au délai de 72 heures avant notification accordé par le RGPD.

Conformité et exigences du RGPD


Cours, formations et certifications RGPD

Vous pouvez obtenir les certificats Fondation RGPD UE (EU GDPR F) et Praticien RGPD UE (EU GDPR P), tous deux accrédités ISO 17024 via diverses formations comme celles proposées par exemple par IT Governance. L’Association internationale des professionnels de la confidentialité (IAPP) fournit elle aussi des cours en ligne.

Logiciel de conformité au RGPD

Il existe de nombreux outils, cadres et logiciels qui vous aideront à vous conformer aux exigences du RGPD, comme le DPOrganizer, qui propose de vous aider a organiser vos données en pleine conformité.

Cookiebot CMP peut vous aider à automatiser le traitement de vos consentements utilisateur sur votre site et à documenter les cookies et autres traceurs que vous utilisez.

Mon panier
Wishlist
Vu Récemment
Categories