Rédigé par

Etienne Alcouffe

Qu’est-ce que le RGPD? Comment se mettre en conformité?

octobre 7, 2019

Le RGPD (Règlement Général sur la Protection des Données) est la nouvelle législation de l’Union européenne (UE) qui introduit des modifications substantielles et spécifiques aux lois existantes relatives à la protection des données personnelles afin d’élargir le champ d’application de la protection des informations. 

 

 

 

 

Les nouvelles règles ont une incidence sur la manière dont les entreprises qui exercent des activités dans l’UE peuvent collecter et traiter des informations à caractère personnel. Les traitements de données sur le web doivent faire l’objet de protections strictes dans le but d’éviter les comportements qui engendrent une utilisation néfaste de celle-ci.

 

Le RGPD ou General Data Protection Regulation (GDPR) introduit un ensemble de règles de confidentialité, qui élargissent considérablement les droits des personnes et la protection des informations personnelles de l’UE. Voici ce que vous devez savoir. Des informations complémentaires sur le RGPD sont disponibles sur le site web de la Commission européenne. 

 

Comme vous le savez probablement, le nouveau règlement européen relatif à la protection des données personnelles (RGPD) est entré en vigueur en 2018. Si vous utilisez une application du RGPD telle que TOPdesk, vous enregistrez des informations sur d’autres personnes physiques ou morales, ce qui rend ces réglementations pertinentes pour votre organisation. Ces informations sont fournies pour vous aider à vous préparer de manière pragmatique.

 

 

Quelles sont les réglementations du RGPD ?

 

 

 

 

Le RPGD est un cadre juridique unique de protection de vie privée ou de vie personnelle qui vise à garantir que la sécurité des données des personnes soit traitée avec prudence.

 

Liste sur le contrôle de préparation

 

La Commission européenne a demandé aux membres de l’Union européenne de mettre en œuvre les nouvelles règles du Règlement général relatives à la protection des données personnelles (RGPD). Les objectifs sont d’harmoniser le droit en matière de protection des informations dans les États membres et d’accroître la protection des citoyens. Cela aura une incidence sur toute entreprise (quel que soit son emplacement) qui vend des produits aux États membres de l’Union européenne. 

 

 

Les étapes à suivre pour une mise en conformité 

 

 

1. Sensibilisation

 

 

Assurez-vous que vos dirigeants et vos parties prenantes comprennent ce qui change et ce que cela aura sur les activités et les passifs de votre entreprise.

 

 

2. Données

 

 

Élaborer un plan détaillé pour la documentation et le classement de vos données à caractère personnel et confidentiel, leur origine et les personnes avec lesquelles vous les partagez. Vous devrez être responsable.

 

 

3. Confidentialité des données

 

 

Examiner vos énoncés sur la protection de votre vie personnelle et les harmoniser avec les nouveaux critères du RGPD ou du GDPR

 

 

4. Droits individuels

 

 

Les gens jouissent du droit d’opposition renforcé, comme celui d’être oublié, ainsi que de droits nouveaux, tels que la portabilité des données. Vérifiez vos procédures, processus et présentations de données afin de vous assurer que vous pouvez vous conformer aux nouvelles conditions.

 

 

5. Demandes d’accès par sujet

 

 

Vous aurez des délais plus courts pour répondre et, dans la plupart des cas, vous ne pourrez pas facturer l’accès. Mettez à jour vos procédures pour se conformer aux nouvelles exigences.

 

 

6. Base légale à des fins de traitement des informations personnelles

 

 

Vous devrez documenter votre base juridique pour un traitement des informations personnelles, dans votre déclaration sur la protection des renseignements personnels et autres.

 

 

7. Consentement

 

 

Examinez comment vous obtenez et notez votre consentement. Il vous sera demandé de documenter cela. Que cela soit une indication positive ; on ne peut pas en déduire. Assurez-vous d’avoir une piste d’audit.

 

 

8. Enfants

 

 

Des garanties nouvelles seront prévues pour les données relatives aux enfants. Établir des dispositifs permettant de contrôler l’âge des personnes et d’obtenir le consentement de leurs parents ou tuteurs à l’activité de traitement des données personnelles.

 

 

9. Violation de données

 

 

La mise en œuvre des nouvelles règles en matière de protection des données et de notification des infractions et des amendes administratives touchera de plus en plus d’organisations. Assurez-vous de savoir comment vous allez détecter, signaler et enquêter sur la violation de données personnelles au risque de courir des condamnations pénales.

 

 

10. Confidentialité dès la conception

 

 

Une approche de respect des vies personnelles et privées dès la conception et de minimisation des informations personnelles sera une obligation légale expresse. Planifiez maintenant comment vous allez respecter les nouvelles conditions sur les codes de conduite.

 

 

11. Responsable du traitement ou de la protection des informations

 

 

Votre organisation devra peut-être désigner un responsable de traitement des informations. Savoir qui sera responsable pour la conformité ainsi que la façon dont son rôle sera positionné.

 

 

12. International

 

 

Si votre organisation opère au niveau international, déterminez l’autorité publique sur le contrôle de protection des informations à laquelle vous appartenez. Lorsque vous disposez plusieurs sites sur lesquels des décisions sont prises par les opinions publiques concernant la gestion et le suivi régulier des données, la réponse peut être complexe.

 

 

 

 

À qui s’applique le Règlement Général sur la Protection des Données (RGPD) ?

 

 

Il s’applique aux organisations établies dans l’UE qui traitent des informations à caractère personnel et aux organisations basées en dehors de l’UE qui offrent des biens ou des services directement aux particuliers dans l’UE ou surveillent le comportement de ceux-ci dans l’UE.

 

 

 

 

Quelles sont les contraintes du RGPD dans le marketing digital et pour les sites web ?

 

 

Le statut général de l’Union européenne relatif à la protection sur le flux de données personnelles (RPGD) est entré en vigueur en mai 2018. 

 

La législation contribue à renforcer et à unifier la protection des informations pour tous les individus au sein de l’Union européenne (UE). Par la suite, le RGPD après analyse d’impact a une influence significative sur tous les spécialistes du marketing qui traitent avec des personnes physiques dans ces pays.

 

Lorsque vous disposez au moins d’un contact de l’UE dans vos bases de données, vous devez mettre à jour vos efforts commerciaux et marketing afin de vous mettre en conformité avec le RGPD et d’éviter les amendes administratives et pénalités coûteuses imposées pour des violations mêmes mineures. 

 

 

 

 

Un certain nombre de rôles sont impliqués dans le RGPD

 

 

La personne concernée est la personne dont les données personnelles sont enregistrées. Le RGPD a pour objectif de protéger les libertés des personnes contre les dommages pouvant être causés par les informations diffusées par d’autres personnes. 

 

La partie qui détermine l’objet et les moyens sur la limitation du traitement des informations personnelles est appelée le « contrôleur » (également appelé « partie responsable »). Peu importe si l’enregistrement est effectué électroniquement dans TOPdesk, Office 365, sur papier ou sur un tableau noir par exemple.

 

 En décidant de disposer d’un registre des traitements contenant des informations personnelles, cette partie assume un ensemble d’obligations et de responsabilités.

 

Les destinataires sont les personnes qui accèdent aux données et les utilisent. Ce sont des opérateurs dans TOPdesk, par exemple.

 

Les processeurs sont des parties impliquées dans la chaîne des opérations de traitement des données. Ils peuvent fournir les outils utilisés dans l’enregistrement, les installations d’hébergement ou d’autres services. 

 

Ils ont l’obligation, à l’égard du contrôleur, de sécuriser leur rôle dans la chaîne de traitement des données. Lorsque TOPdesk est mise en place sur un site, le contrôleur est souvent aussi le processeur. 

 

Lorsque vous utilisez TOPdesk SaaS, TOPdesk devient le processeur.

 

Chaque état membre désignera une autorité de contrôle ou de surveillance. 

 

Une personne concernée peut adresser des plaintes à cette autorité et l’autorité publique a les moyens d’imposer des sanctions aux parties qui ne respectent pas les règles de confidentialité.

 

 

 

 

Comment se mettre en conformité avec le RGPD ?

 

 

Le règlement général relatif à la protection des données personnelles est mieux connu sous le nom de RGPD.

 

Il s’agit d’un ensemble de lois adopté par l’Union européenne, mais vous n’avez pas besoin d’être dans l’UE pour être impacté par ses nouvelles règles. Voici trois choses à savoir sur la conformité :

 

 

1. Le RGPD vous concerne probablement, même si vous n’êtes pas dans l’UE

 

 

Ce n’est pas parce que le Règlement Général sur la Protection des Données est lié à l’UE que vous n’êtes pas concerné. Ce nouveau réglement concerne les entreprises des quatre coins de la planète.

 

La raison ? Le RGPD est conçu pour protéger le droit d’accès aux données des résidents européens. Il s’applique donc à tous organismes publics ou privés qui traitent des données orientées vers l’UE, quel que soit son emplacement ou l’adresse de son siège social.

 

En d’autres termes, si votre société touche les données sensibles d’un seul individu basé dans l’UE, il vous appartient de mettre en place les protections appropriées.

 

 

2. Le RGPD couvre la protection des informations personnelles et sa réglementation est large

 

 

« Données personnelles » est un terme vague, et la définition de RGPD est aussi large que possible. En vertu du règlement, toute information pouvant être utilisée pour identifier une personne de toutes les manières, même indirectement, est couverte. 

 

Cela signifie que les noms, adresses électroniques, photos, numéros d’identification et informations financières sont tous inclus. Il en va de même pour les adresses IP, les publications sur les réseaux sociaux et les données de cookies Web.

 

Si quelque chose est même très éloigné de « l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale » d’une personne, pour utiliser le propre langage du RGPP cela compte. 

 

Ainsi, les entreprises ne peuvent stocker ou traiter les données affectées que lorsque la personne associée l’autorise explicitement et même dans ce cas, le RGPD impose des limites fermes à la durée de conservation des données. 

 

En outre, la loi impose également aux entreprises d’effacer les données d’une personne sur demande et de signaler toute violation des transferts de données aux autorités de protection des données et à toute personne physique affectée dans les 72 heures suivant la découverte de la violation.

 

 

3. Il est temps de terminer votre programme de conformité à la réglementation RGPD

 

 

Nous ne pourrons pas vous offrir de conseils juridiques, mais en général, nous vous encourageons à passer en revue tous les contrats et services qui ont trait à des entreprises tierces pour vérifier la conformité avec le RGPD.

 

Nous vous recommandons aussi de vous adresser à votre propre conseiller juridique pour déterminer quelles exigences de RGPD s’appliquent chez vous et quelle est la meilleure façon de vous y conformer.

 

D’une manière générale, les outils digitaux que vous utilisez et qui ont pignon sur rue comme les CRMs devraient logiquement être déjà en conformité avec la RGPD, si vous voulez vous protéger assurez-vous que c’est bien le cas.

 

 

Voici 3 mesures clés de conformités à l’intention des entreprises

 

 

 

 

Le réglement général de l’UE relative à la protection des données personnelles (RPGD) impacte les entreprises qui ciblent l’UE. Nous voulons partager les pratiques exemplaires reçues au cours des conversations dans notre secteur. 

 

Les commerçants peuvent préparer une mise en conformité avec le RGPD de trois manières :

 

 

1. Correspondre avec la réalité

 

 

La clarté est au centre des préoccupations des régulateurs. En un mot, les entreprises sont censés obéir à ce qu’ils disent. ils doivent ainsi communiquer avec les consommateurs en des termes compréhensibles par tous les non professionnels dans une langue claire, précise et succincte. 

 

Pensez logique et pas « facilitée légale ». Les règles de confidentialité sont le plus souvent considérées comme des règles du jeu. 

 

Dans le cas de RGPD, il incombe aux sociétés non seulement d’examiner leurs stratégies de protection de la vie privée, mais aussi leur attitude, et de s’assurer que ces stratégies correspondent dans les faits à leur comportement sur le terrain.

 

Les régulateurs attachent également une grande importance à la protection de la vie personnelle et à la vie privée des mineurs. Dans le cas où votre public cible intègre des personnes mineures, tout ce qui précède s’applique, mais sera amplifié. 

 

L’entreprise doit veiller tout spécialement à la conformité de sa politique générale et de son comportement avec les impératifs du RGPD et des règles qui lui sont propres et selon le pays et le domicile de ses clients. 

 

Pour éviter un impact négatif sur le chiffre d’affaires le challenge des entreprises est donc de se conformer tout en évitant de complexifier les parcours d’achats par exemple.

 

 

2. Assurez-vous de conserver une documentation complète

 

 

Le Règlement général sur la Protection des Données est complexe et de multiples détails de réglementation sont encore en cours d’élaboration. 

 

Toutefois, il est indispensable de pouvoir démontrer des efforts diligents, véritables et sincères pour respecter le RGPD et l’esprit qui le préside. 

 

Les principales compagnies technologiques telles que Google et Facebook ne sont pas les seules à être confrontées aux plaintes du secteur privé quant à l’utilisation des données.

 

Petits et grands, plus les commerçants sont en mesure de prouver qu’ils agissent de bon foie et qu’ils respectent bien la confidentialité et les désirs de leurs consommateurs, plus ils se rapprocheront de la conformité avec le règlement.

 

 

3. Se conformer même si votre entreprise n’est pas située dans l’UE

 

 

Internet est international. Que vous soyez une société internationale ou que vous ayez l’ambition d’un produit ou d’un autre service de dimension mondiale, il vous incombe de vous conformer à la RGPD si vous traitez de près ou de loin avec des clients, fournisseurs, ou entreprises situées à l’intérieur de l’Union européenne.

 

La RGPD est devenue le « nouveau standard » et même si son application reste cantonné dans sur le papier à l’UE, beaucoup d’entreprise font le choix de se conformer pour avoir une attitude et une politique responsable en matière de traitement des données.

 

En d’autres mots, en pratique, tous les traitements et divulgations des données devront se conformer aux réglementations du parlement européen en la matière. On peut difficilement imaginer une multinationale, ne serait-ce qu’avec une faible présence en Europe, construire deux versions d’un produit ou service qu’elle entend adopter à grande échelle.

 

 

Pour plus d’informations, le site internet de la CNIL apporte des précisions pratiques sur l’application de la RGPD.