FAQ RGPD
C’est le Règlement général sur la protection des données : une loi européenne qui protège les données personnelles de chacun d'entre nous. Avec elle les entreprises sont obligées de respecter certaines obligations si elles veulent en collecter et les traiter.
Une donnée personnelle est une information qui permet d’identifier une personne physique, directement ou indirectement. un nom, un prénom, une adresse IP, un numéro de téléphone, un identifiant de connexion informatique…
La définition est très large pour protéger les gens le plus possible. Quand elles touchent à l’intime (convictions religieuses, politiques, santé, orientation sexuelle…), elles sont dites “sensibles” afin d' être encore plus protégées.
Si vous collectez ou traitez une donnée personnelle, pour votre compte ou celui d’un partenaire, même une seule, vous êtes concerné.
Si vous avez un site internet, même vitrine, le formulaire de votre page contact ou bien le suivi de vos statistiques de trafic par Google Analytics suffisent à vous faire entrer dans le cadre du RGPD
Oui, dès lors que vous réalisez un traitement concernant des personnes qui se trouvent sur le territoire de l'Union Européenne.
Oui, si le traitement concerne une offre de biens ou de services payante ou gratuite destinée à des personnes résidentes dans l'Union Européenne.
Oui, si vous effectuez le suivi d’un comportement qui a lieu au sein de l'Union Européenne.
En théorie, une fois l’objectif de la collecte ou traitement atteint, les données doivent être supprimées. Mais la loi peut vous contraindre à les conserver, comme dans le cas de la durée d’une facture.
La CNIL fournit des recommandations de délai de conservation qu’il vaut mieux suivre à la lettre par prudence.
Pour vous aider à vous y retrouver, voici un formulaire (réalisé par Axeptio) pour vous permettre de connaître la durée maximale de conservation imposée ou conseillée.
Le RGPD permet de prendre des dispositions pour protéger vos clients et/ou vos prospects
Certes, le RGPD représente une contrainte puisqu’il implique une revue de votre politique commerciale. Mais il constitue aussi un tournant dans l’évolution de la nouvelle économie.
Il représente des contraintes nouvelles appelant des opportunités nouvelles répondant à une demande nouvelle : celle de la transparence, de la confiance retrouvée.
Les premiers à se conformer à ces nouveaux textes seront également les premiers à en récolter les fruits.
Le Privacy by Design e fait de tenir compte de la composante “données personnelles” dans tous vos projets, dès leur naissance, comme la création de votre nouveau site internet par exemple.
La loi vous impose de vous interroger à toutes les étapes de votre activité sur la prise en compte et le respect des données personnelles.
C’est la minimisation de la récolte des données : collecter peu mais bien : le strict nécessaire. Souhaiter un bon anniversaire à un proche ne suppose pas que vous connaissiez son année de naissance...
Le consentement
Le consentement RGPD est l' un des 6 fondements légaux prévus par le RGPD qui vous autorise à collecter et traiter des données personnelles.
C’est aussi le plus pratique des fondements, le plus sûr et celui qui implique le plus vos clients et prospects dans une démarche commerciale qualitative en leur expliquant ce que vous souhaitez faire avec leurs données.
Presque rien n’est interdit, il faut simplement être transparent dans vos démarches.
Non : il y a 5 autres fondements juridiques prévues par le RGPD qui autorisent la mise en œuvre de traitements de données à caractère personnel (fondement légal, mission de service public, impératif sanitaire, motifs légitimes, fondement pré-contractuel ou contractuel).
Mais seuls deux de ces autres fondements concernent le plus grand nombre :
- le fondement légal : collecte, traitement et conservation des données obligatoirement contenues dans une facture par exemple. Ici c’est la loi ou le règlement qui vous impose la collecte, le traitement et la conservation.
- le fondement contractuel : collecte et traitement des données permettant à une vente de se réaliser : nom, prénom, adresse pour un envoi de produits achetés sur un site e-commerce par exemple.
Seul le consentement permet, en toute sécurité, de dépasser le strict cadre de récolte fixé par les autres fondements légaux. Le consentement, c’est donc la clé de la liberté dans le domaine des données personnelles.
4 critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli.
Le consentement doit être :
Libre :
Un refus ne doit pas avoir pour conséquences, par exemple, d’interdire le bénéfice d'une prestation sauf si ce refus empêche l’exécution de la prestation
Spécifique :
- A un consentement doit correspondre à une finalité de traitement clairement présentée.
- S’il y a plusieurs finalités très distinctes, il faut recueillir plusieurs consentements distincts
Exemple : un organisateur d’évènements culturels souhaite recueillir le consentement des spectateurs pour deux types de prestations : la conservation de leurs coordonnées de paiement (carte bancaire) afin de faciliter leurs prochaines réservations ; la collecte de leur adresse électronique pour leur adresser des courriels concernant des prochaines représentations. Pour que le consentement soit valide, les spectateurs doivent pouvoir consentir librement et séparément pour chacun de ces deux traitements : la conservation des coordonnées bancaires et l’utilisation de leur adresse électronique.
Eclairé :La personne qui consent doit toujours être en mesure de très clairement comprendre à quoi elle consent.
La loi impose donc la communication de toute une série d'informations comme l’identité du responsable du traitement, les finalités poursuivies, les catégories de données collectées, etc.
Univoque : Il ne doit exister aucune ambiguïté sur l’expression valide du consentement.
Ce qui exclut donc un recueil de consentement par cases pré-cochées ou pré-activées, des consentements « groupés » pour plusieurs traitements distincts ou encore un consentement recueillir par défaut (comme l'absence de réponse à un courriel)
Le RGPD n’a pas modifié substantiellement la notion de consentement. Il a en revanche clarifié sa définition et l’a renforcé, en l’assortissant de certains droits et garanties :
Droit au retrait : la personne doit pouvoir retirer son consentement à tout moment aussi facilement qu’elle l'a donné.
Preuve du consentement : Il faut pouvoir prouver la réalité et la conformité de ce consentement à la réglementation en cas de contrôle.
Les enfants de 15 ans ou plus peuvent, en France, consentir eux-mêmes au traitement de leurs données.
En-dessous, la loi impose le recueil du consentement du titulaire de l’autorité parentale.
Un consentement obtenu avant le 25 mai 2018 peut demeurer valide, à condition qu’il soit conforme aux dispositions désormais prévues par le RGPD ce qui est possible dans la mesure où ce nouveau cadre juridique est très proche du cadre antérieur.
À défaut (si vous avez inscrit des gens d'office sur vos mailing liste), il faut à nouveau recueillir les consentements.
Le sous-traitant
Le mot “sous-traitant” est trompeur. En réalité, c’est celui qui traite des données personnelles pour le compte du responsable de traitement.
En pratique, il peut s’agir d’un simple partenaire commercial dont on utilise les services : un hébergeur, un développeur, un client mail...
Le sous-traitant est co-responsable en cas de litiges.
Il doit donc garantir une sécurité et une confidentialité suffisantes des données et peut être considéré comme responsable de traitement s’il est très autonome par rapport aux finalités et moyens du traitement de données mis en œuvre.
Il peut dégager sa responsabilité sous certaines conditions.
Responsable de traitement et sous-traitant doivent obligatoirement conclure un contrat comportant des clauses obligatoires prévues par le RGPD.
Le sous-traitant doit, au même titre que le responsable du traitement, être en conformité avec la loi européenne. Mais il doit en plus assister le responsable du traitement dans ses tâches.
C’est donc un tandem juridique qu’il faut organiser par contrat.
Ce contrat doit prévoir toute une série de dispositions prévue par le RGPD.
La CNIL propose des clauses types pour aider à les respecter car elles sont assez contraignantes, comme par exemple traiter des données personnelles uniquement sur instructions du client responsable de traitement, assurer leur confidentialité, assurer la sécurité du traitement, supprimer toutes les données personnelles traitées au terme de la prestation,...
Il s’agit probablement d’un des points les plus contraignants du RGPD pour les entreprises, ce d’autant que si le sous-traitant sous-traite lui-même ses missions, des contraintes supplémentaires s’appliquent.
Elle dépend du contrat signé!
Il faut donc être très vigilant à bien le rédiger. Le sous-traitant peut également se retrouver lui même dans le cadre de sa mission, responsable de traitement pour certains volets du travail à accomplir.
Il est vivement conseillé à chaque sous-traitant de tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement.
En cas de contrôle de la CNIL, c’est une des premières choses vérifiée, d’où l’intérêt d’en tenir un.
A défaut, il faudra prouver le respect de ses obligations par d’autres moyens.
Bon à savoir : la CNIL met à disposition des entreprises des modèles de fiche de registre qu’on a plus qu’à remplir.
Ici c’est une logique de sécurité informatique basique qui s’applique. Il faut garantir un niveau de sécurité adapté au risque (ex. pseudonymisation, chiffrement, moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services, disponibilité et accès aux données personnelles, procédures de test)
Le sous-traitant s’assure que toute personne physique agissant sous son autorité et celle du responsable de traitement ayant accès à des données personnelles, ne les traite pas, sauf sur instruction du responsable de traitement.
Il convient de prêter attention aux conditions de transfert de données par internet, aux terminaux mobiles et nomades. Il peut être recommandé d’utiliser une connexion de type https ou un réseau privé virtuel (VPN), par exemple
Oui. Le sous-traitant notifie toute violation de données personnelles au responsable de traitement dans les meilleurs délais après en avoir pris connaissance.
Cette notification répond à des exigences de précisions définies par le RGPD (nature de la violation de données personnelles, nombre approximatif de personnes concernées, description des conséquences probables, etc.). Le RGPD prévoit certaines exceptions à cette obligation.
Le DPO
C’est le « Data Protection Officer », appelé en français « Délégué à la protection des données ».
À la fois juriste et technicien, il est en charge de toutes les actions entourant la protection des données personnelles.
Comme pour les fiches de registre, ce n’est pas tout le temps obligatoire mais vivement conseillé en raison de la lecture très large du texte.
Ce type de démarche constitue une “bonne pratique” qu’il faut adopter, quand bien même elle ne constitue pas une obligation systématique.
Le simple fait de se poser la question de la nécessité d’en avoir un constitue une perte de temps (qualification de votre situation, analyse du besoin si c’est facultatif, étude de l’option d’un recours externe ou d’une création en interne…)
Il faut éviter cette situation car elle crée un conflit d’intérêt potentiel entre la mission du DPO et le rôle de l’associé.
On doit si possible désigner un membre du personnel qui disposera des compétences juridiques requises, éventuellement en le formant.
Il doit avoir les moyens matériels de sa mission et l’indépendance nécessaire à ses actions.
Il est placé au plus près de la hiérarchie décisionnaire.
Le Registre des traitements
Même quand ce n’est pas obligatoire c’est vivement conseillé. Ce registre doit contenir des informations importantes telles que :
- Le nom et les coordonnées du processeur de données
- L'objet du traitement
- Une description des catégories des sujets concernés et des catégories de données personnelles
- Les catégories de destinataires auxquels les données personnelles ont été communiquées, y compris les destinataires de pays tiers ou d'organismes internationaux.
Le RGPD sur un site Internet
Vous devez vous assurer de la sécurité dans la transmission des données lorsqu’un internaute transmet des informations personnelles comme son nom, son prénom, son adresse email ou son téléphone, son adresse, …
Votre site doit donc être en https:// et non en http://.
Si ce n'est pas le cas, vous pouvez nous commander votre passage en https
Oui. La politique de confidentialité doit absolument être adaptée aux exigences du RGPD. Parmi les obligations à respecter figurent notamment :
- L’information relative à la durée de conservation des données personnelles ou, le cas échéant, les critères utilisés pour déterminer cette période
- L’information relative au droit à la portabilité des données (c'est-à-dire le droit de récupérer et transmettre leurs données personnelles)
- L’information relative au droit de déposer plainte auprès d'une autorité de surveillance
- L’information relative au droit de retrait du consentement à tout moment
- La logique utilisée pour profiler les utilisateurs, ainsi que l'importance et les conséquences de ce traitement.
Oui, au moins en partie.
Un texte spécifique (le futur “règlement EPrivacy” traitera spécifiquement de cette question) mais certaines obligations du RGPD s’appliquent déjà à ces fichiers en sus de textes plus anciens.
Le consentement est au coeur de la problématique des cookies et depuis le RGPD, l’absence d’outils adaptés pour les faire facilement accepter par les internautes a entraîné une baisse conséquente de leur acceptation.
Violation des données personnelles
A la CNIL, aux personnes et aux partenaires concernés.
Il existe des exceptions, notamment quand les conséquences potentielles ont pu être traitées immédiatement.
Oui. Une violation de données comprend le vol de données ainsi que toute intrusion débouchant sur la destruction, perte, modification, divulgation ou accès non-autorisé aux données personnelles.
En principe, 72h à compter de la découverte de la violation.
ADRESSE
Rue G. Van Huynegem 30
1090 Bruxelles
Belgique
JOBS
Envie de travailler avec nous ?
freelance@design-my-web.be