Le 25 mai 2018, un nouveau règlement général sur la protection des données (GDPR) entre en vigueur, remplaçant la loi actuelle et périmée sur la protection des données. Cette nouvelle loi introduit des amendes plus sévères en cas de non-conformité et donne aux individus plus d’influence sur ce que les entreprises peuvent faire avec leurs informations personnelles.

Qu’est ce que la loi GDPR?

Le règlement GDPR est une nouvelle législation européenne régissant l’utilisation et le traitement des données personnelles des individus, elle peut être lue en intégralité sur le site de la CNIL.

Il a 3 objectifs:

  • Harmoniser les réglementations européennes en matière de protection des données privées d’individus entre les pays européens.
  • Donner aux citoyens le contrôle sur la façon dont leurs données personnelles sont utilisées.
  • S’assurer que les entreprises sont conscientes de leurs responsabilités en matière de données personnelles.

Qui est concerné?

Si vous avez une entreprise opérant dans l’UE ou si vous vendez à des clients dans l’UE, cette nouvelle législation s’applique à vous, en particulier si vous avez un site web ou applications récupérant des informations sur leurs utilisateurs.  Ce règlement s’applique en effet aux entreprises établies en dehors de l’Union européenne qui ciblent les résidents de l’UE par le profilage ou proposent des biens et services à des résidents européens.

Le GDPR a également éliminé les distinctions entre les différents types d’entreprises – y compris B2B, B2C, à but lucratif et à but non lucratif – ce qui signifie que la loi s’applique également à toutes les organisations qui traitent les données personnelles des citoyens européens.

 

Dans quel cas l’appliquer ?

Bien sur ces règlements sont théoriques et dans les faits la législation est inapplicable de manière générale dans le délai imposé pour la grande majorité des sites web existants, mais elle devrait être prise en compte pour tout nouveau développement de site web recueillant des données utilisateurs.

Tous les acteurs concernés doivent être en conformité avec le GDPR d’ici le 25 mai 2018. Bien que cette date puisse sembler trop proche et irréaliste, vous devriez tout de même vous familiariser avec cette nouvelle législation et vous préparer à l’appliquer sur vos sites web et applications existantes comme en projet.

 

Quelle est le montant de l’amende ?

Les entreprises qui ne se conforment pas au RGPD pourraient recevoir une amende de 2 à 4% de leur revenu annuel, ou jusqu’à 20 millions de dollars, selon le montant le plus élevé.

 

Voici huit choses que vous devez savoir:

  1. Les «données personnelles» couvrent désormais un éventail beaucoup plus large d’informations, notamment les photos, les coordonnées bancaires, les noms de médias sociaux utilisés, les informations médicales, les adresses e-mail et les dates de naissance. La législation s’applique uniquement aux informations des individus, et non des entreprises.
  2. Vous devez conserver des enregistrements de toutes les données traitées par votre entreprise, ainsi que le but du traitement, et elles ne doivent être conservées que dans un but légitime avant d’être détruites. Le traitement des données personnelles est autorisé lorsque:
    – le consentement est donné par l’individu pour traiter ses données (qui doivent être enregistrées)
    – un contrat nécessite un traitement de données (dans le cas des employés, par exemple),
    – il existe une obligation légale, un intérêt vital ou l’intérêt public, ou un intérêt légitime – tels que les informations personnelles recueillies à des fins de marketing.
  1. Lors de la collecte de données personnelles pour une liste d’adresses e-mail de marketing, il était acceptable d’avoir une case pré-cochée dans laquelle les individus devaient retirer la coche afin de se désinscrire. Ce n’est plus acceptable, cette case ne peut plus être précochée et il devra y avoir un processus de “double opt-in”. Cela signifie que les individus devront cocher une case pour participer aux communications marketing et devront recevoir un email de confirmation qui doit leur permettre de se désinscrire.
  2. Si vous déterminez l’objectif pour lequel les données personnelles sont collectées et la manière dont elles seront traitées, vous êtes désigné sous le nom de “Data Controller”. Un “Data Processor” est une autre personne ou organisation, autre qu’un employé du Data Controller, qui traite les données en leur nom. Un exemple de ceci pourrait être si vous externalisez vos fonctions de paie ou de ressources humaines.

Vous devez vous assurer que vous disposez d’un contrat approprié et suffisant avec tous les processeurs de données que vous utilisez, afin de garantir que les données personnelles que vous fournissez sont protégées contre tout accès, perte ou destruction non autorisés.

  1. Les personnes dont vous avez collecté les données personnelles ont le “droit d’être oubliées”. Si elles demandent que leurs données soient complètement effacées, vous devez vous conformer à cette demande et informer toutes les autres organisations qui détiennent les données, telles qu’un processeur de données, pour les supprimer également. Il peut y avoir certaines exemptions lorsqu’il y a un intérêt légitime à conserver certains dossiers, comme les renseignements sur les employés, qui sont habituellement conservés pendant au moins 40 ans.
  2. Les personnes pour lesquelles vous disposez de données personnelles peuvent demander l’accès aux informations que vous détenez sur elles. Vous n’êtes plus en mesure de facturer des frais d’administration pour vous conformer à leur demande, et vous n’avez plus que 40 jours pour compléter la demande et divulguer l’information. Les demandes d’informations sont très génériques et vous devez fournir toutes les informations relatives à l’individu. Si la personne est à la recherche d’une information spécifique, vous pouvez réduire le temps et les dépenses nécessaires pour se conformer à cette demande en demandant s’il y a une information spécifique dont elle a besoin et en fournissant cette information.
  3. Si vous subissez une violation de données, comme par exemple dans le cas où une faille de sécurité aurait permis à un hacker de récupérer une de vos bases de données, vous devez en informer le Commissariat à l’information dans les 72 heures. Toute personne affectée ou potentiellement affectée par ce vol de données doit également être avertie.
  4. Le non-respect de ces nouvelles règles pourrait entraîner une pénalité importante. Si une violation n’est pas signalée dans un délai de 72 heures, vous risquez d’être condamné à une amende de 2% de votre chiffre d’affaires global, le montant le plus élevé étant retenu.

 

Comment vous préparer

 

  1. Utilisez la confirmation de double opt-in pour les newsletters

    Nous vous recommandons d’utiliser des formulaires à double adhésion pour rassembler les nouveaux abonnés à votre newsletter et d’expliquer clairement aux utilisateurs comment leurs données personnelles seront utilisées.

    Le GDPR nécessite également un moyen facile pour vos contacts de se désabonner: toutes les newsletters envoyés doivent contenir un lien de désabonnement. 
  2. Apprenez à rectifier et à supprimer les informations de vos contacts

    Le droit d’accès, de modification et de suppression des données est l’un des points clés du GDPR.  
  3. Mettez à jour vos formulaires d’abonnement

    Nous vous recommandons d’étudier et de mettre à jour le libellé de vos formulaires d’abonnement à votre newsletter afin qu’ils soient aussi explicites que possible quant à la manière dont les informations demandées seront utilisées. Inclure un langage affirmatif qui indique clairement que l’utilisateur accepte les termes énoncés. 
  4. Supprimez les contacts et les listes dont vous n’avez plus besoin

    L’un des principaux objectifs du GDPR est de minimiser les risques de fuites ou de fuites de données et d’empêcher l’utilisation abusive des données personnelles des résidents européens.
    C’est pourquoi il est préférable de supprimer tous vos contacts inactifs ou ceux qui se sont déjà désinscrits à vos communications. Si vous n’utilisez pas cette information, il est préférable de l’ignorer.

 

Pour plus d’informations sur la nouvelle législation GDPR, veuillez consulter ces liens.

Page Wikipedia sur le sujet

https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes