Se préparer au règlement général sur la protection des données (RGDP)

Le 25 mai, le règlement de l’Union européenne sur la protection des données (RGPD ou GDPR en anglais) est entré en vigueur. Il régit la façon dont les entreprises et les individus peuvent collecter, utiliser et divulguer des données personnelles provenant de résidents de l'UE, que ces entreprises soient basées en Europe ou pas.

Le RGDP constitue un grand progrès dans la protection contre la violation de la vie privée et des données personnelles, et crée également une nouvelle base afin d’obtenir un consentement préalable lors de la collecte des données. Les dispositions du RGDP obligent les entreprises à inclure des protections de la vie privée dans tout ce qu'elles font dès le départ, pas après coup. Et c'est comme ça que ça devrait être.

Attention : Cet article est fourni à titre d'information uniquement et ne peut être considéré comme un avis juridique. Vous devriez discuter avec un avocat autorisé avant de vous appuyer sur n'importe quelle information ci-dessous.

Qui sera concerné par le nouveau règlement ?

Le RGDP s'applique à toute entreprise qui a une activité de collecte, conserve et/ou traite les données personnelles des résidents de l'Espace économique européen ("EEE" ou "UE").

En fait, toute personne qui héberge un site Internet où même accueille un seul visiteur européen est concernée par ce règlement. Alors, toute entreprise qui agit en tant que contrôleur ou processeur de données personnelles d'un résident de l'UE est soumise au nouveau règlement.

Quelles sont "les données personnelles" ?

Le RGDP a une définition large pour cette notion qui englobe généralement toutes les informations sur une personne spécifique, y compris :

·         Nom & prénom

·         Courriel

·         Date de naissance

·         Adresse physique

·         Photo de profil

·         Nom d'utilisateur sur les médias sociaux

Ou toute autre information qui peut conduire à identifier une personne.

Le contrôleur de données, c’est qui ?

Le contrôleur de données est une personne ou une entreprise qui collecte des données personnelles et décide :

·         Quelles informations sont collectées ?

·         Comment sont-elles collectées ?

·         Comment ces informations sont utilisées sur toute la ligne ?

Le contrôleur de données a le plus de responsabilités dans le cadre du RGDP. Il doit garantir que le consentement, si nécessaire, est obtenu avant de stocker ou d'utiliser des données personnelles.

Qui est un processeur de données ?

Un processeur de données est une personne ou une entreprise qui traite les données personnelles au nom d'un contrôleur de données.

Qu’est-ce que nous sommes en train de faire pour être prêt pour le RGDP ?

Nous avons fait beaucoup de travail dans les coulisses pour nous préparer au RGDP et aider nos clients à remplir leurs nouvelles obligations dans le cadre du GDPR.

Certaines des choses sur lesquelles nous travaillons comprennent :

- Demande de certification avec le Cadre de la protection de vie privée de l’UE-É.U. et de Suisse-É.U.

- Auditionner tous nos fournisseurs qui stockent ou traitent des données personnelles pour s’assurer qu'ils sont en bonne voie de préparer le RGDP

- Mettre à jour les accords de traitement des données avec les fournisseurs pour inclure les dispositions requises par le RGDP

- Créer et documenter un processus interne et une structure de gouvernance pour traiter les demandes à partir des personnes concernées, y compris les demandes d'accès aux données et de suppression

- Créer un programme de formation sur la sécurité et la confidentialité interne afin de garantir la sécurisation et la protection des données personnelles. Ce qui permettra de préparer le terrain pour d'autres certifications de sécurité importantes à l'avenir, telles que la norme ISO 27001

- Rédiger une politique assez claire sur les cookies pour exploiter et améliorer les services.

- Permettre aux clients de préciser un Délégué à la protection des données (DPD) ou un Représentant des membres de l'UE pour chaque projet, nous pouvons donc contacter la bonne personne si l'un de nos sites hébergés reçoit une demande de données que nous traitons mais ne contrôlons pas.

- Mettre à jour nos conditions d'utilisation et notre politique de confidentialité afin de préciser la façon dont nous collectons, utilisons et divulguons les données personnelles comme requis par le RGDP.

En résumé, soyez assurés que les pratiques internes, les accords juridiques avec les fournisseurs et les mesures de sécurité sont mis à jour dans la préparation du RGDP.

Que devriez-vous faire en préparation au RGDP ?

Si vous hébergez des sites Internet qui recueillent des données personnelles auprès de résidents de l'UE, par exemple via des formulaires de soumission ou des scripts tiers, vous avez des responsabilités en tant que contrôleur de données. Certaines des étapes que vous pouvez suivre, mais qui ne sont pas limitées à:

- Vous devez comprendre vos responsabilités en tant que contrôleur de données et prendre des mesures pour respecter le RGDP. Cette liste de contrôle pour l'auto-évaluation de la protection des données peut être utile.

- Si vous créez des formulaires qui exigent des données personnelles, il faut demander clairement et obtenir un consentement, sinon une autre base légale de traitement ne s'applique pas.

- Si vous êtes en train de créer des sites Internet pour vos clients qui collectent des données personnelles, il faut que vos clients comprennent leurs responsabilités en tant que contrôleur de données personnelles

- Si vous utilisez des outils tiers (e.g., Zapier) pour des sources de données externes et que vous envoyez des données personnelles, il est indispensable de revoir vos responsabilités en tant que contrôleur de données

- Si vous choisissez des services tiers sur votre site Internet qui utilisent des cookies pour suivre le nombre de visiteurs du site, il est nécessaire d’envisager de créer une politique de cookies conforme au RGDP pour votre site. Les cookies peuvent être considérés comme des données personnelles s'ils peuvent identifier une personne. Des outils comme Cookiebot peuvent vous aider à commencer.

L'impact de RGDP sur les sites mis en place

Lors de l'évaluation des exigences du RGDP, nous avons déterminé que les sites mis en ligne qui envoient des soumissions de formulaire étaient trop difficiles à maintenir à l’avenir, nous avons  des responsabilités supplémentaires comme un processeur de données. Par exemple, le code de soumission de formulaire exporté peut être manipulé pour indiquer que le consentement a été donné, tout en masquant visuellement une case à cocher qui demande un consentement à un visiteur du site. Nous avons donc décidé de commencer à éliminer la possibilité de capturer les soumissions de formulaires venant des sites mis en place.

Cela signifie que, à compter du 25 mai 2018, les sites mis en place verront le code source de soumission du formulaire supprimé et le code exporté devra être connecté manuellement à un autre mécanisme ou un service pour capturer les soumissions de formulaires.

Si cette modification impacte l'un de vos sites, vous pouvez envisager d'envoyer des formulaires via MailChimp ou d'autres outils tels que Formstack ou Wufoo.

Pour les sites qui ont été mis en place avant le 25 mai, nous continuerons d'enregistrer les soumissions de formulaires jusqu'au 31 juillet 2018, afin de permettre aux propriétaires de sites de faire la transition. Après ce jour-là, les soumissions de formulaires pour ces sites ne seront plus stockées sur les serveurs.

Blogs & Activities