Pourquoi le RGPD a-t-il été créé ?

Soucieux de permettre aux citoyens de contrôler la manière dont leurs données sont utilisées et de protéger « les droits et libertés des personnes physiques », ce règlement établit des exigences strictes en matière de procédures de traitement des données, de transparence, de documentation et de consentement utilisateur pour les organisations qui traitent des données personnelles dans l'Union européenne.

Les organisations doivent disposer d’une base juridique valable pour les activités de traitement des données personnelles, conserver des archives de ces activités et en assurer le suivi.

En tant que responsable du traitement de données, toute organisation doit disposer d’une base juridique valable pour les activités de traitement des données personnelles, conserver une archive de ces activités et en assurer le suivi. Cela concerne tant les données personnelles traitées au sein de l’organisation que celles traitées par des sous-traitants – à savoir, les tiers qui traitent des données à caractère personnel pour le compte du responsable du traitement.

Les tiers incluent aussi bien les fournisseurs de logiciels en tant que service (SaaS) que les services tiers intégrés qui suivent et identifient les visiteurs sur le site de l’organisation.

Tant les responsables du traitement que les tiers doivent pouvoir rendre compte du type de données traitées, du but de leur traitement et des pays et des tiers auxquels les données sont transmises. 

Si des données à caractère personnel sont transférées à des organisations ou régions qui ne sont pas soumises au RGPD ou qui ne sont pas jugées comme « adéquates » en matière de confidentialité des données par le RGPD, les utilisateurs doivent être spécifiquement informés de cette situation et de tous les risques qu'elle comporte.

Tous les consentements doivent être enregistrés et conservés en toute sécurité en tant que preuve que le consentement a été donné.

Le 4 mai 2020,  le Comité européen de la protection des données (EDPB) a adopté des lignes directrices sur le consentement valable dans le cadre du RGPD. 

Le consentement valable d'un individu doit être une indication libre, spécifique, informée et non ambiguë des souhaits de l'utilisateur, c'est-à-dire une action claire et affirmative de la part de l'utilisateur.

Leslignes directrices de l'EDPB indiquent clairement que le scrolling ou la poursuite de la navigation sur un site web ne constitue pas un consentement valable et que les bandeaux cookies ne sont pas autorisés à présenter des cases pré-cochées.

Les cookies walls (consentement forcé) ont également été jugés non conformes.

L'EDPB est la plus haute autorité de contrôle chargée de l'application du RGPD dans l'ensemble de l'UE. Il est composé de représentants des autorités chargées de la protection des données de chaque État membre de l'UE. Leurs lignes directrices et leurs décisions constituent la base de l'application du RGPD au niveau national.

En savoir plus sur les lignes directrices de l'EDPB concernant le consentement valable

Les individus bénéficient d’un certain nombre de droits en vertu du RGPD, notamment les droits « à la portabilité des données », « d’accès aux données » ainsi que  « à l’oubli ». Ils peuvent retirer leur consentement dès qu’ils le désirent, il doit être aussi facile de la faire que d’accorder le consentement en premier lieu. Dans de tels cas, le responsable du traitement de données sera tenu de cesser de traiter les données à caractère personnel une fois la demande reçue et d’effacer les données personnelles relatives à cet individu si elles ne sont plus nécessaires à la finalité pour laquelle elles ont été recueillies.

Dans le cas d’une fuite de données, une organisation doit avertir les autorités responsables de la protection des données et les individus concernés dans un délai de 72 heures.

Le RGPD oblige également les autorités publiques, les organisations de plus de 250 employés, et les entreprises qui manipulent des données personnelles sensibles à grande échelle d’employer ou de former un délégué à la protection des données (DPD). Le DPD doit prendre des mesures pour assurer et maintenir la conformité avec le RGPD à tous les niveaux de l’organisation.

Comment se conformer au RGPD ?

Si votre site web accueille des visiteurs ou clients originaires de l’UE et que vous ou des services tiers intégrés (tels que Google et Facebook) manipulez des données personnelles, quel qu’en soit le type, vous devez obtenir un consentement préalable de la part de chaque visiteur.

Pour obtenir un consentement valable, vous devez, avant toute manipulation de données personnelles, expliquer l’étendue et la finalité des opérations que vous effectuez sur les données dans un langage facilement compréhensible.

Ces informations doivent être disponibles pour les visiteurs à tout moment (elles peuvent par exemple faire partie de votre politique de confidentialité). Vous devez faire en sorte que les visiteurs puissent facilement modifier ou retirer leur consentement.

Tous les consentements doivent être archivés et conservés en toute sécurité, et tout suivi des données personnelles (y compris de la part de services tiers intégrés) doit être documenté, y compris la liste des pays auxquels les données sont transmises.

Jetez un coup d’œil à l’infographie de la Commission européenne.

En quoi Cookiebot CMP vous est utile

La plateforme de gestion du consentement Cookiebot CMP vous permet d’automatiser la conformité de votre site au RGPD pour les exigences en matière de cookies et de traceurs.

Cookiebot CMP vous permet de suivre et de documenter les cookies et autres technologies de suivi utilisés sur votre site, d’afficher les informations pertinentes pour les visiteurs de votre site, et d’obtenir automatiquement et archiver en toute sécuritétous vos consentements utilisateurs.

Quelle est la définition des données personnelles ?

Le RGPD définit les données personnelles comme étant « toute information se rapportant à une personne physique identifiée ou identifiable ( « personne concernée »); une personne physique identifiable peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique ».

Les identifiants en ligne tels que les adresses IP sont désormais également considérés comme des données personnelles, à moins qu’ils ne soient rendus anonymes.

Les données personnelles de pseudonyme sont elles aussi soumises au RDPG à partir du moment où il est possible d’identifier de qui proviennent ces données par ingénierie inverse.

Date d’entrée en vigueur du RGPD : 25 mai 2018

La réforme de la protection des données de l’UE a été adoptée par le Parlement européen et le Conseil européen le 27 avril 2016. Le Règlement général européen sur la protection des données est en vigueur depuis le 25 mai 2018 et remplace la Directive sur la protection des données

Pénalités et amendes prévues par le RGPD

Toute organisation qui ne se conforme pas au RGPD risque de se voir condamnée à payer une lourde amende pouvant aller jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires annuel mondial de l’organisation, le montant le plus élevé étant retenu, en cas d'infractions graves ou répétées.

Check-list RGPD : 6 choses à faire

1. Préparez votre organisation

Présentez les exigences du RGPD à tous les responsables de votre organisation. Organisez des formations pour vos employés portant sur les principes de cyber sécurité, de « Confidentialité dès la conception » et de « Confidentialité par défaut ». Si nécessaire (c’est-à-dire, si vous employez plus de 250 personnes), nommez un délégué à la protection des données (DPD).

2. Contrôlez vos données

Assurez-vous de savoir où se trouvent toutes les données collectées et traitées par votre organisation, qui y a accès et sur quelles plateformes ou quels appareils. Identifiez où et à quelles fins les données personnelles sont traitées, y compris auprès des prestataires tiers. Documentez les motifs justifiant un traitement légal et mettez à jour les politiques de confidentialité.

3. Contrôlez vos prestataires de service

Assurez-vous que vos prestataires de service (c-à-d. prestataires de services tiers intégrés à votre site ou fournisseurs de logiciels en tant que service) sont eux aussi conformes au RGPD ou se trouvent dans une juridiction de données officiellement approuvée comme « adéquate ». Examinez et cartographiez leurs flux de données internationaux.

4. Obtenez des consentements

Mettez en place des méthodes pour demander, obtenir et archiver en toute sécurité les consentements pour assurer et maintenir la conformité en matière de confidentialité. Gardez vos archives en ordre pour qu’il soit facile de visualiser à quoi a consenti chaque personne concernée, tout en fournissant à la personne concernée des options lui permettant de révoquer ou de modifier son consentement à tout moment.

5. Répondre aux demandes de droits des personnes concernées

Mettez en place des procédures qui permettent à votre organisation de répondre aux demandes de droits des personnes concernées, tels que l’accès aux données, leur rectification ou leur suppression, en temps opportun. Documentez la manière dont ces droits sont garantis pour vos clients ainsi que pour vos employés.

6. Préparez-vous aux violations de données

Veillez à ce que des procédures soient mises en place pour se protéger contre une violation de données, mais aussi pour détecter, analyser et rapporter toute violation affectant des données personnelles afin de respecter le délai de notification de 72 heures prévu par le RGPD.

Ressources

Information Commissioner's Office (ICO) : la réforme britannique sur la protection des données
Confidentialité dès la conception : les 7 principes fondamentaux (PDF)