Qu'est-ce que le RGPD ?La nouvelle loi européenne sur la confidentialité et la sécurité des données comprend des centaines de pages de nouvelles exigences pour les organisations du monde entier.Cet aperçu du RGPD vous aidera à comprendre la loi et à déterminer quelles parties s'appliquent à vous. Le Règlement Général sur la Protection des Données (RGPD) est la loi sur la confidentialité et la sécurité la plus stricte au monde.Bien qu'il ait été rédigé et adopté par l'Union européenne (UE), il impose des obligations aux organisations partout dans le monde, à condition qu'elles ciblent ou collectent des données relatives aux personnes résidant dans l'UE.Le règlement est entré en vigueur le 25 mai 2018. Le RGPD imposera de lourdes amendes à ceux qui enfreignent ses normes de confidentialité et de sécurité, avec des sanctions pouvant atteindre des dizaines de millions d'euros.
Avec le RGPD, l’Europe affiche sa position ferme en matière de confidentialité et de sécurité des données à une époque où de plus en plus de personnes confient leurs données personnelles aux services cloud et où les violations sont monnaie courante.La réglementation elle-même est vaste, de grande portée et assez peu détaillée, ce qui fait de la conformité au RGPD une perspective intimidante, en particulier pour les petites et moyennes entreprises (PME).
Nous avons créé ce site Web pour servir de ressource aux propriétaires et gestionnaires de PME afin de relever les défis spécifiques auxquels ils peuvent être confrontés.Bien que cela ne remplace pas des conseils juridiques, cela peut vous aider à comprendre sur quoi concentrer vos efforts de conformité au RGPD.Nous proposons également des conseils sur les outils de confidentialité et sur la manière d'atténuer les risques.À mesure que le RGPD continue d'être interprété, nous vous tiendrons au courant de l'évolution des meilleures pratiques.
Si vous avez trouvé cette page – « Qu'est-ce que le RGPD ? » – il y a de fortes chances que vous recherchiez un cours intensif.Peut-être n'avez-vous pas encore trouvé le document lui-même (astuce : voici le règlement complet).Peut-être que vous n'avez pas le temps de tout lire.Cette page est pour vous.Dans cet article, nous essayons de démystifier le RGPD et, nous l'espérons, de le rendre moins contraignant pour les PME soucieuses de leur conformité.
Histoire du RGPD Le droit à la vie privée fait partie de la Convention européenne des droits de l'homme de 1950, qui stipule : « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. » Sur cette base, l'Union européenne a demandé assurer la protection de ce droit par la législation.
À mesure que la technologie progressait et qu’Internet était inventé, l’UE a reconnu la nécessité de protections modernes.Ainsi, en 1995, elle a adopté la directive européenne sur la protection des données, établissant des normes minimales de confidentialité et de sécurité des données, sur lesquelles chaque État membre a basé sa propre loi d'application.Mais Internet était déjà en train de se transformer en données Hoover qu’il est aujourd’hui.En 1994, la première bannière publicitaire est apparue en ligne.En 2000, la majorité des institutions financières proposaient des services bancaires en ligne.En 2006, Facebook s'est ouvert au public.En 2011, une utilisatrice de Google a poursuivi l'entreprise pour avoir analysé ses e-mails.Deux mois plus tard, l'autorité européenne de protection des données a déclaré que l'UE avait besoin d'une « approche globale en matière de protection des données personnelles » et les travaux ont commencé pour mettre à jour la directive de 1995.
Le RGPD est entré en vigueur en 2016 après son adoption par le Parlement européen et, depuis le 25 mai 2018, toutes les organisations devaient s'y conformer.
Portée, sanctions et définitions clés Premièrement, si vous traitez les données personnelles de citoyens ou de résidents de l'UE, ou si vous proposez des biens ou des services à ces personnes, le RGPD s'applique à vous même si vous n'êtes pas dans l'UE.Nous en parlons davantage dans un autre article.
Deuxièmement, les amendes en cas de violation du RGPD sont très élevées.Il existe deux niveaux de sanctions, qui peuvent atteindre un maximum de 20 millions d'euros ou 4 % du chiffre d'affaires mondial (le montant le plus élevé étant retenu), et les personnes concernées ont le droit de demander réparation pour dommages.On parle également davantage des amendes RGPD.
Le RGPD définit longuement un ensemble de termes juridiques.Vous trouverez ci-dessous quelques-uns des plus importants auxquels nous faisons référence dans cet article :
Données personnelles — Les données personnelles sont toute information relative à une personne qui peut être identifiée directement ou indirectement.Les noms et adresses e-mail sont évidemment des données personnelles.Les informations de localisation, l'origine ethnique, le sexe, les données biométriques, les croyances religieuses, les cookies Web et les opinions politiques peuvent également être des données personnelles.Les données pseudonymes peuvent également relever de la définition s'il est relativement facile d'identifier quelqu'un à partir de celles-ci.
Traitement des données — Toute action effectuée sur les données, qu'elle soit automatisée ou manuelle.Les exemples cités dans le texte incluent la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’utilisation, l’effacement… donc en gros n’importe quoi.
Personne concernée — La personne dont les données sont traitées.Ce sont vos clients ou visiteurs du site.
Contrôleur de données — La personne qui décide pourquoi et comment les données personnelles seront traitées.Si vous êtes un propriétaire ou un employé de votre organisation qui gère des données, c'est vous.
Processeur de données — Un tiers qui traite des données personnelles pour le compte d'un contrôleur de données.Le RGPD prévoit des règles particulières pour ces personnes et organisations.Ils pourraient inclure des serveurs cloud comme Tresorit ou des fournisseurs de services de messagerie comme Proton Mail.
Ce que dit le RGPD à propos de… Pour la suite de cet article, nous expliquerons brièvement tous les points réglementaires clés du RGPD.
Principes de protection des données Si vous traitez des données, vous devez le faire conformément aux sept principes de protection et de responsabilité énoncés à l'article 5.1-2 :
Licéité, équité et transparence — Le traitement doit être licite, équitable et transparent pour la personne concernée.
Limitation des finalités — Vous devez traiter les données aux fins légitimes spécifiées explicitement à la personne concernée lorsque vous les avez collectées.
Minimisation des données — Vous ne devez collecter et traiter que la quantité de données absolument nécessaire aux fins spécifiées.
Exactitude — Vous devez conserver les données personnelles exactes et à jour.
Limitation de stockage — Vous ne pouvez stocker les données d'identification personnelle que pendant la durée nécessaire aux fins spécifiées.
Intégrité et confidentialité — Le traitement doit être effectué de manière à garantir une sécurité, une intégrité et une confidentialité appropriées (par exemple en utilisant le cryptage).
Responsabilité — Le responsable du traitement des données est responsable de pouvoir démontrer sa conformité au RGPD avec tous ces principes.
Responsabilité
Le RGPD stipule que les responsables du traitement des données doivent être en mesure de démontrer qu'ils se conforment au RGPD.Et ce n'est pas quelque chose que vous pouvez faire après coup : si vous pensez être en conformité avec le RGPD mais ne pouvez pas montrer comment, alors vous n'êtes pas conforme au RGPD.Parmi les façons dont vous pouvez le faire :
Désignez des responsabilités en matière de protection des données à votre équipe.
Conservez une documentation détaillée des données que vous collectez, comment elles sont utilisées, où elles sont stockées, quel employé en est responsable, etc.
Formez votre personnel et mettez en œuvre des mesures de sécurité techniques et organisationnelles.
Mettez en place des contrats d'accord de traitement des données avec des tiers avec lesquels vous engagez pour traiter les données pour vous.
Nommez un délégué à la protection des données (même si toutes les organisations n’en ont pas besoin – plus d’informations à ce sujet dans cet article).
Sécurité des données
Vous êtes tenu de gérer les données en toute sécurité en mettant en œuvre des « mesures techniques et organisationnelles appropriées ».
Les mesures techniques peuvent aller de l'obligation à vos employés d'utiliser une authentification à deux facteurs sur les comptes où les données personnelles sont stockées jusqu'à la conclusion de contrats avec des fournisseurs de cloud qui utilisent le cryptage de bout en bout.
Les mesures organisationnelles comprennent des choses comme la formation du personnel, l'ajout d'une politique de confidentialité des données à votre manuel de l'employé ou la limitation de l'accès aux données personnelles aux seuls employés de votre organisation qui en ont besoin.
En cas de violation de données, vous disposez de 72 heures pour en informer les personnes concernées, sous peine de sanctions.(Cette exigence de notification peut être levée si vous utilisez des protections technologiques, telles que le cryptage, pour rendre les données inutiles à un attaquant.)
Protection des données dès la conception et par défaut
Désormais, tout ce que vous faites dans votre organisation doit, « de par sa conception et par défaut », prendre en compte la protection des données.Concrètement, cela signifie que vous devez tenir compte des principes de protection des données lors de la conception de tout nouveau produit ou activité.Le RGPD reprend ce principe à l’article 25.
Supposons, par exemple, que vous lanciez une nouvelle application pour votre entreprise.Vous devez réfléchir aux données personnelles que l'application pourrait éventuellement collecter auprès des utilisateurs, puis réfléchir aux moyens de minimiser la quantité de données et à la manière dont vous les sécuriserez avec la dernière technologie.
Quand vous êtes autorisé à traiter des données
L'article 6 énumère les cas dans lesquels il est légal de traiter des données personnelles.N'envisagez même pas de toucher aux données personnelles de quelqu'un – ne les collectez pas, ne les stockez pas, ne les vendez pas à des annonceurs – à moins que vous puissiez le justifier par l'un des éléments suivants :
La personne concernée vous a donné son consentement spécifique et sans ambiguïté pour traiter les données.(Par exemple, ils se sont inscrits à votre liste de diffusion marketing.)
Le traitement est nécessaire pour exécuter ou préparer la conclusion d'un contrat auquel la personne concernée est partie.(Par exemple, vous devez effectuer une vérification des antécédents avant de louer une propriété à un locataire potentiel.)
Vous devez le traiter pour respecter une de vos obligations légales.(Par exemple, vous recevez une ordonnance du tribunal de votre juridiction.)
Vous devez traiter les données pour sauver la vie de quelqu'un.(par exemple, vous saurez probablement quand celui-ci s'appliquera.)
Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou à l'exercice d'une fonction officielle.(par exemple, vous êtes une entreprise privée de collecte des déchets.)
Vous avez un intérêt légitime à traiter les données personnelles de quelqu'un.Il s'agit de la base juridique la plus flexible, même si les « droits et libertés fondamentaux de la personne concernée » prévalent toujours sur vos intérêts, surtout s'il s'agit de données concernant un enfant.(Il est difficile de donner un exemple ici car vous devrez prendre en compte une variété de facteurs pour votre cas. Le bureau du commissaire à l'information du Royaume-Uni fournit ici des conseils utiles.)
Une fois que vous avez déterminé la base légale de votre traitement de données, vous devez documenter cette base et en informer la personne concernée (transparence !).Et si vous décidez ultérieurement de modifier votre justification, vous devez avoir une bonne raison, documenter cette raison et en informer la personne concernée.
Consentement
Il existe de nouvelles règles strictes sur ce qui constitue le consentement d'une personne concernée au traitement de ses informations.
Le consentement doit être « librement donné, spécifique, éclairé et sans ambiguïté. »
Les demandes de consentement doivent être « clairement distinctes des autres questions » et présentées dans « un langage clair et simple ».
Les personnes concernées peuvent retirer leur consentement précédemment donné à tout moment et vous devez honorer leur décision.Vous ne pouvez pas simplement remplacer la base juridique du traitement par une autre justification.
Les enfants de moins de 13 ans ne peuvent donner leur consentement qu'avec l'autorisation de leurs parents.
Vous devez conserver une preuve documentaire du consentement.
Délégués à la protection des données
Contrairement à la croyance populaire, tous les responsables du traitement ou sous-traitants n’ont pas besoin de nommer un délégué à la protection des données (DPO).Il existe trois conditions dans lesquelles vous êtes tenu de désigner un DPO :
Vous êtes une autorité publique autre qu'un tribunal agissant en qualité de juge.
Vos activités principales nécessitent une surveillance systématique et régulière des personnes à grande échelle.(par exemple, vous êtes Google.)
Vos activités principales sont le traitement à grande échelle de catégories particulières de données énumérées à l'article 9 du RGPD ou de données relatives aux condamnations pénales et aux infractions mentionnées à l'article 10. (par exemple, vous êtes un cabinet médical.)
Vous pouvez également choisir de désigner un DPO même si cela n’est pas obligatoire.Il y a des avantages à avoir quelqu'un dans ce rôle.Leurs tâches de base consistent à comprendre le RGPD et la manière dont il s'applique à l'organisation, à conseiller les personnes de l'organisation sur leurs responsabilités, à organiser des formations sur la protection des données, à réaliser des audits et à surveiller la conformité au RGPD, et à assurer la liaison avec les régulateurs.
Nous approfondissons le rôle du DPO dans un autre article.
Droits des personnes à la vie privée
Vous êtes responsable du traitement des données et/ou sous-traitant.Mais en tant que personne qui utilise Internet, vous êtes également une personne concernée.Le RGPD reconnaît une litanie de nouveaux droits à la vie privée pour les personnes concernées, qui visent à donner aux individus plus de contrôle sur les données qu'ils prêtent aux organisations.En tant qu'organisation, il est important de comprendre ces droits pour garantir que vous êtes conforme au RGPD.
Vous trouverez ci-dessous un aperçu des droits à la vie privée des personnes concernées :
Le droit d'être informé
Le droit d'accès
Le droit à la rectification
Le droit à l'effacement
Le droit de restreindre le traitement
Le droit à la portabilité des données
Le droit de s'opposer
Droits relatifs à la prise de décision automatisée et au profilage.
Conclusion
Nous venons de couvrir tous les points majeurs du RGPD en un peu plus de 2 000 mots.Le règlement lui-même (sans compter les directives qui l'accompagnent) compte 88 pages.Si vous êtes concerné par le RGPD, nous vous recommandons fortement qu'un membre de votre organisation le lise et que vous consultiez un avocat pour vous assurer que vous êtes conforme au RGPD.
