Logo Logo
Cookiebot

Qu'est-ce que le RGPD?


Le Règlement général de la protection des données (RGPD) est une directive européenne valable dans toute l'Union européenne et portant sur la manière dont les entreprises et autres organisations doivent se comporter vis-à-vis des données personnelles. Il s'agit de la plus importante initiative pour la protection des données depuis 20 ans ; elle a d'importantes répercussions pour toute organisation qui propose ses services aux citoyens de l'Union européenne, où qu'elle se trouve dans le monde.

Soucieuse de permettre au citoyen de contrôler la manière dont ses données sont utilisées et de protéger "les droits et libertés fondamentaux des personnes physiques", cette règlementation établit des exigences strictes en matière de procédures de traitement des données, de transparence, de documentation et de consentement utilisateur.

Toute organisation doit conserver une archive de ses activités de traitement des données personnelles et en effectuer le suivi

En tant que contrôleur de données, toute organisation doit conserver une archive de ses activités de traitement des données personnelles et en effectuer le suivi. Cela concerne tant les données personnelles traitées au sein de l'organisation que celles traitées par des tiers ("processeurs de données").

Les processeurs de données incluent aussi bien les fournisseurs de logiciels de service que les services tiers intégrés qui suivent et identifient les visiteurs sur le site de l'organisation.

Tant les contrôleurs que les processeurs de données doivent pouvoir rendre compte du type de données traitées, du but de leur traitement et des pays et des tiers auxquels les données sont transmises. Les données ne peuvent être transférées qu'à d'autres organisations conformes au RGPD ou à des organisations dont les juridictions sont jugées "convenables".

Tous les consentements doivent être conservés en tant que preuve que le consentement a été donné

Il est interdit de traiter la moindre donnée personnelle sans un consentement préalable. Cela signifie que ce consentement doit être donné avant que la moindre donnée ne soit traitée et que ce consentement ne peut être donné qu'après obtention d'informations claires et spécifiques quant aux types de données recueillies et au but de cette récolte. De plus, pour les données personnelles sensibles, le consentement doit être explicite, ce qui renforce l'importance du consentement lors du traitement de données personnelles sensibles.

Les individus bénéficient désormais d'un "droit de portabilité des données", d'un "droit d'accès aux données" ainsi que d'un "droit à l'oubli", et peuvent retirer leur consentement dès qu'ils le désirent. Dans ce cas, le contrôleur des données sera tenu d'effacer les données personnelles relatives à cet individu si elles ne sont plus nécessaires au but pour lequel elles auront été recueillies.

Dans le cas d'une fuite de données, l'entreprise doit être capable d'avertir les autorités responsables de la protection des données et les individus concernés dans un délai de 72 heures.

De plus, le RGPD oblige les autorités publiques et les entreprises qui manipulent des données personnelles sensibles à grande échelle d'employer ou de former un responsable protection des données (RPD). Le RPD doit prendre des mesures pour assurer la conformité à tous niveaux de son organisation avec le RGPD.

À noter qu'à la suite du Brexit, le gouvernement britannique prévoit lui aussi de mettre en place une législation équivalente, similaire au RGPD à maints égards.

Que signifie le RGPD pour mon site?


Si votre site web dessert des personnes originaires de l'UE et que vous ou des services tiers intégrés (tels que Google et Facebook) manipulez des données personnelles, quel qu'en soit le type, vous devrez obtenir un consentement préalable de la part de chaque visiteur.

Pour obtenir un consentement valable, vous devrez, avant toute manipulation de données personnelles, décrire l'étendue et le but des opérations que vous effectuez sur les données dans un langage facilement compréhensible par les visiteurs.

Ces informations doivent être disponibles pour les visiteurs à tout moment (elles peuvent par exemple faire partie de votre Politique confidentialité). Vous devez aussi mettre à la disposition de vos visiteurs une manière facile de modifier ou retirer leur consentement.

Tous les consentements doivent être archivés à fins de preuve et tout suivi des données personnelles (y compris de la part de services tiers intégrés) doit être documenté, de m'me que la liste des pays auxquels les données sont transmises.

En quoi Cookiebot vous est utile

Cookiebot vous permet d'automatiser la conformité de votre site au RGPD en matière de suivi et de consentement.

Cookiebot vous permet de suivre et de documenter tout type de surveillance sur votre site, d'afficher les informations pertinentes pour les visiteurs de votre site et d'obtenir et archiver automatiquement tous vos consentements utilisateurs.

Quelle est la définition des données personnelles?

Le RGPD définit les données personnelles comme étant "toute information relative à une personne physique identifiée ou pouvant être identifiée ("sujet de données ") ; une personne physique identifiable est une personne pouvant être identifiée, directement ou indirectement, en particulier par référence à un identifiant tel que le nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou un ou plusieurs facteurs spécifiques de l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique".

Les identifiants en ligne tels que les adresses IP sont désormais considérés comme des données personnelles, à moins qu'ils ne soient rendus anonymes.

Les données personnelles de pseudonyme sont elles aussi soumises au RDPG à parti du moment où il est possible d'identifier de qui proviennent ces données par ingénierie inverse.

Date d'entrée en vigueur du RGPD : 25 mai 2018


La réforme de la protection des données de l'UE a été adoptée par le Parlement européen et le Conseil européen le 27 avril 2016. Le règlement européen sur la protection des données est applicable depuis le 25 mai 2018.

Pénalités et amendes prévues par le RGPD


Toute organisation non conforme risque de se voir condamnée à payer une lourde amende soit d'un montant de maximum 20 millions d'euros, soit s'élevant à 4 % du chiffre d'affaires annuel mondial de l'organisation, en choisissant le montant le plus élevé parmi eux.

Liste de contrôle RGPD : 6 choses à faire


Préparez votre organisation:

Présentez les exigences du RGPD à tous les responsables de votre organisation. Organisez des formations pour vos employés portant sur les principes de cybersécurité, de "Confidentialité dès la conception" et de "Confidentialité par défaut". Si nécessaire (c'est-à-dire, si vous employez plus de 250 personnes), nommez un responsable de la protection des données (RPD).

Contrôlez vos données:

Assurez-vous que vous sachiez où se trouvent toutes vos données, qui y a accès et sur quels appareils. Identifiez les emplacements où les données personnelles sont traitées, y compris auprès des prestataires tiers. Documentez les motifs justifiant un traitement légal et mettez à jour votre politique confidentialité.

Contrôlez vos prestataires de service:

Assurez-vous que vos prestataires de service (c-à-d. prestataires de services tiers intégrés à votre site ou fournisseurs de logiciels de service) sont eux aussi conformes au RGPD ou se trouvent dans une juridiction de données officiellement sanctionnée. Examinez et cartographiez leurs flux de données internationaux.

Obtenez des consentements:

Mettez en place des méthodes pour solliciter, obtenir et archiver les consentements pour vous assurer de votre conformité à la loi. Gardez vos archives en ordre pour qu'il soit facile de visualiser à quoi a consenti chaque sujet de données individuel, tout en fournissant au sujet de données des options lui permettant de révoquer ou de modifier son consentement.

Garantissez les droits aux données:

Mettez en place des procédures qui permettent à votre organisation de garantir les droits des sujets de données tels que l'accès aux données ainsi que leur rectification ou leur suppression. Documentez la manière dont ces droits sont garantis d'une part pour vos clients, d'autre part pour vos employés.

Préparez-vous aux scénarios catastrophe:

Assurez-vous d'avoir des procédures en place vous permettant de détecter, analyser et rapporter toute violation des données personnelles afin de pouvoir vous plier au délai de 72 heures avant notification accordé par le RGPD.

Conformité et exigences du RGPD


Cours, formations et certifications RGPD:

Vous pouvez obtenir les certificats Fondation RGPD UE (EU GDPR F) et Praticien RGPD UE (EU GDPR P), tous deux accrédités ISO 17024 via diverses formations comme celles proposées par exemple par IT Governance. L'Association internationale des professionnels de la confidentialité (IAPP) fournit elle aussi des cours en ligne.

Logiciel de conformité au RGPD:

Il existe de nombreux outils, cadres et logiciels qui vous aideront à vous conformer aux exigences du RGPD, comme le DPOrganizer, qui propose de vous aider a organiser vos données en pleine conformité.

Cookiebot peut vous aider à automatiser le traitement de vos consentements utilisateur sur votre site et à documenter les cookies et autres trackers que vous utilisez.

Resources


Règlement sur la protection des données (télécharger au format PDF)
Commission européenne : Protection des données personnelles
Pays "convenables" pour le RGPD
Information Commissioner's Office (ICO) : la réforme britannique sur la protection des données
? Confidentialité dès la conception : les 7 principes fondamentaux (PDF)

Rendez l'usage des cookies et du pistage en ligne sur votre site conforme au RGPD/ePR dès aujourd'hui

Faites un essai gratuit