Ça fait déjà plus de deux ans qu’il a été mis en place et qu’il agite la toile. Le Règlement Général sur la Protection des Données, mis à exécution depuis le 25 mai 2018 en Europe, a fait trembler plus d’une entreprise européenne, mais pas que. Eh oui, même en dehors de l’Europe, vous pouvez être concerné par son application.
- Comment savoir si mon entreprise est impactée?
- Qu’est-ce cela implique?
- Comment s’y conformer?
On va essayer de répondre à vos questions à travers cet article, mais nous nous contenterons seulement de vous partager notre savoir sur le sujet en focalisant sur le côté numérique. Si vous devez mettre votre organisme/entreprise en conformité avec le RGPD, nous vous conseillons de contacter un avocat spécialiste en la matière pour vous aider.
LE RGPD, c’est quoi?
Le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR en anglais), est un texte de loi qui vise à harmoniser la protection des données personnelles pour les citoyens de l'Union Européenne.
Cette loi a 2 impacts majeurs :
- Elle garantit aux citoyens de l'UE plus de visibilité et de contrôle sur leurs données personnelles hébergées ou traitées par les différents organismes concernés (contenu des données collectées, leur nature, raison de leur collecte, combien de temps elles seront conservées, comment le sont-elles ...)
- Elle permettre aux utilisateurs de maîtriser le cycle du renouvellement des données, leur récolte, leur transmission, lorsqu'elles sont demandées par leurs propriétaires. En outre, cela implique le fait d'avoir une connaissance parfaite sur leur méthodologie d'organisation, afin de savoir où se trouvent ces données, à quel moment, et enfin, rendre facile leur manipulation en toute sécurité.
Mon site web est-il concerné par le RGPD?
Ce règlement s’applique à tout organisme à caractère professionnel récoltant des données personnelles européennes dans le cadre de sa mission, quelle que soit sa domiciliation dans le monde. Les entreprises canadiennes implantées en Europe ou qui offrent des services utilisés par des citoyens de l'UE (associations, sites de rencontres, réseaux sociaux, hébergeurs, etc.) ne font donc pas exception à la règle.
Si votre site internet récolte des données provenant de citoyens européens (que ce soit dans l’analyse, dans la prise de contact ou dans la relation client), alors vous avez besoin de le mettre en conformité avec le RGPD.
Mettre mon site web en conformité avec le RGPD
- Vous avez un compte Google Analytics ou autre tracker associé à votre site internet?
- Vous avez un formulaire d’inscription à une infolettre? un formulaire de contact? ou tout autre formulaire qui demande d’inscrire au moins un nom et un email?
- Votre site reçoit de la visite de l’Union Européenne?
Alors votre site collecte des données personnelles soumises au RGPD. La règle de base avec ce règlement est la transparence. Vous devez mettre en place quelques petits éléments pour vous éviter tout problème administratif ou financier (les sanctions sont très élevées, on vous en parlera plus bas):
Politique de confidentialité
Mettez en place une politique de confidentialité accessible par vos visiteurs (pas besoin de l’afficher en grand, on peut la mettre dans le pied de page à côté du copyright par exemple). On doit y trouver toutes les informations relatives au traitement des données collectées:
- Les coordonnées de votre responsable des données personnelles
- L’objectif de la collecte (analyse, prise de contact, traitement des commandes…)
- La durée de conservation des données (sachant qu’un citoyen européen peut vous faire une demande d’oubli de ses données à tout moment que vous serez obligé d’honorer)
- Un rappel des droits des utilisateurs (opposition, accès, modification et suppression)
- Les personnes qui peuvent avoir accès aux données collectées (surtout quand vous sous-traitez ou que vous faites appel à un sous-traitant)
- Les mesures de sécurité mises en place en cas de problème, piratage, perte…
Consentement
Demandez le consentement de vos utilisateurs! Cette étape consiste par exemple à ajouter une case à cocher à la fin de vos formulaires pour informer de la collecte, de son objectif et surtout pour obtenir la preuve de l’accord de l’internaute (attention, cette case ne doit pas être pré-cochée).
Cookie et traceurs
Informez vos visiteurs de la présence de cookies et permettez-leur de les désactiver à tout moment. Vous pouvez installer un “bandeau cookie” avec l’objectif des cookies en cours, modalité de consentement (ex: “En poursuivant la navigation, vous acceptez l’utilisation de cookies pour nous permettre d’analyser vos comportements et d’améliorer votre expérience utilisateur, consultez notre politique de confidentialité pour en savoir plus”) et un lien vers les paramètres de modification de ces cookies.
En savoir plus sur le RGPD
Si vous souhaitez en savoir davantage sur le RGPD et sa relation avec votre entreprise, voici quelques informations qui peuvent vous aider à mieux comprendre ce règlement et son impact sur vous et votre organisme/entreprise.
Fonctionnement du RGPD
- Responsabilité: L'organisme doit garantir que ses produits ou services sont en conformité avec le RGPD et doit être en mesure de démontrer qu'elle a bien rempli ses obligations en terme de protection des données, afin de répondre aux exigence et standards des organismes de contrôle.
- Confidentialité dès la conception: La conception du programme, de l'application, du service ou autre, doit se faire en appliquant les règles du RGPD en amont. La conformité ne doit pas être appliquée après le lancement du produit ou service.
- Sécurité: Cela implique de renforcer de la sécurité dans le système d'information à tous les niveaux, que ce soit physique (Hardware) ou logique (Software), et d’être en mesure de pallier tout problème de sécurité de façon rapide et efficace.
- Délégué à la protection des données (DPD): Certaines entreprises ont l’obligation de désigner un délégué à la protection des données qui sera en charge de gérer les différentes questions liées à la protection des données et cela en veillant à la conformité au RGPD et être le point de contact avec les autorités de contrôle.
- Droit des individus: Les entreprises sont contraintes de mettre en place un moyen pour permettre aux individus d’avoir un regard et un contrôle sur leurs données (ils peuvent demander une copie lisible ou même l’effacement total de leurs données). Cela va de pair avec le consentement qui implique de ne pas le sous-entendre comme en pré-cochant une case par exemple.
- Etude d'impact: Le RGPD demande aux entreprises de réaliser une étude d'impact avant de lancer un nouveau service impliquant la récolte de données personnelles. La Commission Nationale de l’Informatique et des Liberté (CNIL - France) a d’ailleurs mis en place un logiciel gratuit et Open Source pour ces analyses d'impact.
Sanctions: En cas de non respect de ces règles, L'UE prévoit une grosse sanction pour les contrevenants, appliquant la plus grosse des sanctions parmi les deux options suivantes:
- 4 % du chiffre d'affaire annuel mondial
- 20 Millions d'euros (équivalent à près de 30 Millions de dollars canadiens)
De plus, l'entreprise devra également couvrir l’ensemble dommages et intérêts aux préjudices subis pour non respect du GDPR suite à un recours en justice.
Exemple de sanctions appliquée à ce jour: En janvier 2019, Google a été condamné à une amende de 50 millions d’euros par la CNIL pour manque de transparence et d’information des utilisateurs concernant leurs données personnelles. Plus d’infos ici.
Les droits des entreprises
Si les restrictions imposées par l'utilisateur peuvent nuire au bon fonctionnement des services ou produits fournis par les entreprises ou organismes, ou rendent l'inscription au service obsolète, ces derniers peuvent refuser l'inscription au service, tant que ces refus sont justifiés et non abusifs.
Par ailleurs, le RGPD s'applique aux citoyens de l'Union Européenne uniquement (toutes données personnelles venant de citoyens hors de l’UE n’y sont pas soumises mais se doivent d’être détenue en conformité avec la Loi sur la Protection des Renseignements Personnels et les Documents Électroniques (LPRPDE)).
Les droits des utilisateurs
Grâce au RGPD, tout citoyen européen a le droit de demander, à tout moment, l'ensemble de ses données détenues par l'entreprise ou l'organisme qui les détient, de savoir à quelle fin sont utilisées ces données et enfin, de demander à ce qu'elles soient utilisées avec restrictions voire supprimées.
Il est donc possible pour un citoyen européen de demander que certaines de ces informations ne soient pas utilisées pour du ciblage publicitaire, tel que pratiqué par Google, Facebook ou autres.
Cependant, il est important de souligner que si vous êtes citoyen canadien, les entreprises récoltant vos données ne sont pas contraintes à la loi mentionnée ci-dessus. Elles se doivent en revanche de respecter la LPRPDE.
Mettre mon organisme/entreprise en conformité avec le RGPD
Si vous avez besoin de mettre votre entreprise en conformité avec le RGPD, voici quelques références qui vous pourront vous aider dans vos démarches (n’hésitez pas à prendre contact avec un avocat si vous vous sentez perdu):
- Vous pouvez trouver sur le site de la Commission Nationale de l’Informatique et des Libertés (CNIL - France) un guide complet pour se conformer au RGPD
- Elle fournit également des outils gratuits afin de mieux organiser la collecte de données et leurs restitutions
Rappel: Comme spécifié plus haut, la CNIL met aussi à disposition un logiciel gratuit et OpenSource pour les analyses d'impact.
Ce qu’il faut retenir
Si vous avez des bureaux dans l’UE, si vous sous-traitez des données pour une entreprise ayant des clients dans l’UE, si votre site web (ou autre service numérique) est disponible et/ou recueille des données personnes de citoyens européens, alors vous êtes concerné et vous devez mettre votre entreprise et votre site internet en conformité avec le RGPD (sinon vous risquez de fortes sanctions).
- Si vous devez mettre votre SITE WEB ou autre outil numérique en conformité avec le RGPD, nous pouvons vous aider à installer les divers éléments vus ci-dessus mais nous vous laissons en revanche la tâche de construire votre discours, notamment pour votre politique de confidentialité. Nous ne prendrons aucune responsabilité. N'hésitez pas à vous faire aider par un soutien juridique.
- Si vous devez mettre votre ORGANISME/ENTREPRISE en conformité avec le RGPD, nous n'avons aucune compétence juridique pour vous aider. Les informations fournies dans cet article ne sont que des conseils. Veuillez prendre contact avec un spécialiste pour vous assurer de votre conformité.