GDPR, que dit le nouveau règlement européen sur les données personnelles ?

Agence Web à Namur Belgique

La nouvelle année à peine commencée, il est déjà temps de penser aux changements que 2018 va apporter. L’un d’eux concerne le Règlement Général sur la Protection des Données (RGPD), plus communément connu sous l’acronyme anglais « GDPR ». Le 27 avril 2016, l’Union Européenne a adopté un nouveau règlement qui s’applique directement à tous ses états membres. Les entreprises ayant jusqu’au 25 mai 2018 pour se mettre en conformité, il est donc temps d’y penser sérieusement.

Le GDPR, qu’est-ce que c’est ?

Définition

Le GDPR est l’acronyme anglais de « General Data Protection Regulation », c’est-à-dire le « Règlement Général sur la Protection des Données ». Son objectif est de protéger l’individu et ses données à caractère personnel (c’est-à-dire « toute information relative à une personne physique identifiée ou identifiable » [GDPR, chapitre 1, article 4]) contre le traitement que font les entreprises de ces données.

GDPR, qui est concerné ?

  • Toutes les entreprises de l’UE qui récoltent et qui traitent des données à caractère personnel sont tenues de respecter ce règlement et ce, quel que soit le lieu où le traitement est effectué.
  • Les entreprises qui ne sont pas directement responsables du traitement des données et qui passent par un sous-traitant doivent impérativement s’assurer que celui-ci le respecte bien.
  • Le GDPR s’applique aussi aux entreprises et sous-traitants établis hors de l’UE lorsque le traitement concerne l’offre de biens et/ou de services pour les résidents de l’UE et le suivi de leurs comportements.

Les grands principes du GDPR

Le GDPR se base sur différents grands principes :

  • Licéité, loyauté, transparence.
  • Limitation des finalités du traitement.
  • Minimisation des données : les entreprises ne peuvent demander que celles nécessaires au contrat.
  • Exactitude du traitement.
  • Limitation de la conservation des données.
  • Intégrité (ne pas altérer volontairement ou involontairement les données) et confidentialité.
Audit de site internet à Namur

Vous souhaitez connaître votre marché afin d’adapter vos bonnes pratiques ?

Notre agence web analyse les points suivants :

  • L’expérience client
  • L’ergonomie et le design
  • Le référencement naturel
  • Le contenu
  • Les performances et les conversions

GDPR, pourquoi une nouvelle règlementation ?

De nos jours, le Web fait partie intégrante de notre vie : nous achetons en ligne, nous partageons sur les réseaux sociaux, etc. Nos données à caractère personnel sont donc de plus en plus exposées et de moins en moins protégées. Pour pallier cela, l’UE a voulu mettre en place une nouvelle règlementation qui permettra aux citoyens de récupérer un meilleur contrôle sur leurs données. L’objectif est également de créer un sentiment de confiance entre les entreprises et les citoyens de l’UE, afin que ces derniers soient davantage rassurés à l’idée d’utiliser les outils digitaux.

GDPR, qu’est-ce qui change ?

Concrètement, quels sont les grands changements liés à cette nouvelle règlementation ? Ils sont sensibles à la fois pour les personnes concernées (c’est-à-dire, les personnes physiques identifiées et identifiables dont les données à caractère personnel sont traitées) et pour les entreprises.

Droits des personnes concernées

Afin de mieux protéger leurs données, les personnes concernées possèdent différents droits qu’elles peuvent faire valoir auprès des entreprises : droit d’information, d’accès, d’opposition, de ne pas faire l’objet d’une décision fondée uniquement sur un traitement automatisé, droit à la limitation du traitement… Mais les droits vraiment intéressants pour les personnes concernées et qui risquent d’impacter notamment le secteur du marketing sont les suivants :

  • Désormais, les personnes concernées détiennent un véritable droit à l’effacement (que l’on appelle aussi « droit à l’oubli ») : si elles le souhaitent, elles peuvent demander à ce que leurs données ne soient plus traitées. Les entreprises sont obligées de s’y conformer et ont un délai de 30 jours pour supprimer ces données de leur base.
  • L’obtention du consentement de la personne concernée est obligatoire. Il doit être clair et ne pas être noyé dans une masse d’informations pour passer inaperçu. Ce consentement doit également être donné en toute liberté. Il est donc interdit d’obliger les gens à donner leurs données pour avoir accès à un service. Enfin, les entreprises doivent pouvoir prouver à tout moment qu’elles possèdent bien le consentement de la personne en cas de contrôle.
  • Le droit à la portabilité des données : si une personne concernée demande à une entreprise de lui fournir ses données personnelles ou de les transférer à une autre entreprise, elle est obligée d’effectuer ce transfert dans un format informatisé, facilement lisible.

GDPR pour les entreprises

Quelles sont les responsabilités des entreprises ?

  • « Privacy by default and by design » : les entreprises doivent renforcer leur niveau de sécurité pour garantir la protection des données qu’elles possèdent. Toute personne qui traite des données à caractère personnel doit automatiquement garantir le plus haut niveau de protection des données et ce, dès la conception de la technologie permettant de les récolter.
  • Registre des activités de traitement : quelles entreprises sont concernées par l’obligation de tenir un registre de leurs activités de traitement ? Les entreprises de 250 personnes et plus, celles qui traitent régulièrement les données à caractère personnel, celles qui traitent des données sensibles (données sur l’origine raciale ou ethnique) et celles qui effectuent des traitements qui peuvent comporter un risque pour les droits et libertés des personnes concernées. Pour les autres, il est également conseillé d’en tenir un pour se protéger en cas de contrôle des autorités compétentes, mais il n’y a pas d’obligation. Vous devez y documenter :
    • La finalité du traitement (ex. marketing direct, gestion de la clientèle, etc.)
    • Son fondement (ex. obligation légale, consentement de la personne concernée, etc.)
    • Le type de données collectées (ex. données d’identification, de loisirs/d’intérêts/d’affiliations, d’études/de formations/d’emplois, etc.)
    • Les catégories de données à caractère personnel (DPC) (ex. données génétiques, relatives à la santé, etc.)
    • Les catégories de destinataires des DPC, c’est-à-dire les personnes à qui les données ont été ou seront communiquées
    • Les transferts de DPC vers un pays tiers ou vers une organisation internationale
    • Les délais prévus pour l’effacement des différentes catégories de données
    • Les risques et mesures d’atténuation : il s’agit d’une liste des risques encourus par la personne concernée et des processus mis en place pour pallier ces problèmes.
  • AIPD : les entreprises doivent procéder à une Analyse d’Impact sur la Protection des Données lorsqu’elles souhaitent lancer un nouveau produit sur le marché.
  • En cas de violation des DPC (par exemple, si la base de données est piratée), les organisations ont l’obligation d’informer les personnes concernées de la situation.
  • Elles doivent également revoir tous leurs processus contractuels.
  • Enfin, il est très fortement conseillé qu’elles désignent un DPO (Data Protection Officer) qui se chargera, notamment, de la mise en place du GDPR et de son suivi. Il s’assurera également que l’entreprise est conforme. Ce DPO peut être interne ou externe à l’organisation, tant qu’il est indépendant dans l’exercice de ses fonctions.

GDPR et sanctions

En cas de non-respect du règlement, les autorités de contrôle peuvent mettre en place des mesures correctrices. Celles-ci vont du simple avertissement à l’interdiction d’utiliser sa base de données pendant un certain laps de temps, en passant par les amendes administratives. Ces dernières peuvent s’élever jusqu’à 20 000 € ou, pour les entreprises mondiales, jusqu’à 4% de leur chiffre d’affaires annuel.

Mais pas de panique. Bien qu’il soit demandé aux entreprises de se mettre en conformité le plus vite possible, il est clair qu’aucune entreprise ne sera 100% conforme d’ici le 25 mai 2018 (et c’est Willem Debeuckelaere, le Président de la commission privée, qui le dit). Il n’empêche qu’il est largement temps de se renseigner et de faire son possible pour être en règle dans les temps.

Site web de Dodo Coaching

Vous souhaitez plus de nouveaux clients ?

Nous vous aidons à réaliser un site internet efficace avec :

  • Une analyse pointue de votre projet
  • Un référencement naturel optimal
  • Un accompagnement continu
  • Une stratégie marketing digital