La mise en application du Règlement Général sur la Protection des Données (RGPD) en mai 2018 a révolutionné la façon dont les entreprises de l’Union Européenne (UE), ainsi que toutes les entreprises qui vendent au sein de l’UE, protègent et traitent les données des utilisateurs. La conformité au RGPD n’est pas facultative et les entreprises qui ne traitent pas correctement les données personnelles s’exposent à de lourdes amendes.
En parallèle, le RGPD est également devenu un modèle pour les nouvelles lois sur la protection de la vie privée dans le monde entier.
Définition du RGPD
Comme son nom l’indique, le RGPD est un ensemble de règles de protection des données. Le RGPD a remplacé la précédente directive européenne sur la protection des données personnelles, qui était en vigueur depuis 1995.
Le RGPD se concentre sur les obligations des entreprises en matière de protection des données personnelles et de la vie privée et réglemente également l’exportation de données en dehors de l’UE.
Bien que le RGPD soit une étape importante dans l’amélioration de la protection des données et des droits des consommateurs en matière de confidentialité, le règlement présente plusieurs inconvénients. Le plus notable est l’utilisation de termes vagues, tels que «protection raisonnable», qui ne donne pas aux entreprises des orientations précises concernant ce qu’elles doivent véritablement mettre en œuvre.
Cependant, lors du lancement du RGPD, l’UE et les autorités des États membres de l’UE ont déclaré qu’elles aideraient les entreprises à se conformer au RGPD plutôt que de traquer immédiatement les cas de non-conformité.
À ce jour, pratiquement aucun cas significatif de violations du RGPD n’a été porté devant la justice européenne. Il est peu probable d’ailleurs que quiconque soit en mesure d’appréhender pleinement la portée réelle du RGPD avant que cela ne se produise.
Quels sont les objectifs du RGPD ?
En bref, l’UE a développé le RGPD parce que la directive sur la protection des données de 1995 n’était plus adaptée à son objectif. Le règlement précédent a été adopté et mis en œuvre avant le boom du e-commerce et l’augmentation massive de l’utilisation d’Internet. La quantité de données que les entreprises collectaient il y a 25 ans était dérisoire par rapport à celle que ces dernières gèrent aujourd’hui. De plus, les préoccupations liées au stockage et au transfert de données ont également favorisé le développement de ce règlement.
Le RGPD visait principalement la protection des données et de la vie privée des consommateurs. Cependant, les dirigeants de l’UE ont également misé sur le fait qu’un tel règlement incite les entreprises à être plus diligentes concernant les données en général, réduisant ainsi les risques de violations de données.
Quels types de données le RGPD protège-t-il ?
Le RGPD couvre la plupart des données personnelles que votre entreprise collecte sur vos clients. En particulier tout ce qui peut potentiellement identifier un individu de manière unique. La conformité au RGPD est applicable quelle que soit la plateforme qui collecte les données, signifiant ainsi que vous devez sécuriser les données que vous collectez à partir d’un formulaire manuscrit de la même manière que celles que vous collectez à partir de votre site Web.
Si vous effectuez l’une des opérations suivantes, vous devez vous conformer au RGPD. Notez que la liste ci-dessous n’est pas exhaustive :
- Collecte d’adresses email pour générer des leads ou envoyer des newsletters par email.
- Mise en œuvre d’une base de données clients par vos propres moyens ou en utilisant une plateforme CRM.
- Intégration d’adresses sur les factures des fournisseurs, des clients et de toute autre entreprise ou personne avec qui vous traitez.
- Utilisation d’outils d’analyse de site Web pour collecter des données marketing.
- Utilisation d’une plateforme de stockage Cloud comme Google Drive pour stocker les données des utilisateurs.
Le RGPD couvre spécifiquement les types d’informations suivants que vous pourriez détenir sur les utilisateurs :
- Les informations de base relatives à l’identité, incluant les noms, adresses, adresses email des utilisateurs, données générées par les utilisateurs telles que celles présentes dans les publications sur les réseaux sociaux ainsi que toute autre information partagée en ligne.
- Les métadonnées collectées via des sites Web, notamment les emplacements des utilisateurs, les adresses IP, les données de cookies et les tags RFID.
- Toutes les données de santé, génétiques ou biométriques que vous détenez sur les utilisateurs.
- Les données raciales et ethniques.
- Les points de vue et opinions politiques, y compris l’historique des votes.
- L’orientation sexuelle et l’identité de genre.
- Toute autre information pouvant être utilisée afin d’identifier de manière unique une personne vivante.
Oui, le RGPD mentionne spécifiquement un individu «vivant». En effet, il ne s’applique plus aux données identifiables lorsqu’une personne est décédée. Pourtant, on s’attendrait à ce que la confiance qui a été placée, par une personne, dans une entreprise en particulier ne soit pas altérée après son décès, notamment concernant les autorisations spécifiques relatives aux données de cette dernière.
Des règles et réglementations supplémentaires s’appliquent dans certains pays de l’UE, régissant des éléments comme l’utilisation de la vidéosurveillance (CCTV).
Qui est concerné par le RGPD ?
Le RGPD est une directive spécifique qui concerne l’UE. Cependant, son application signifie qu’il s’agit effectivement d’une réglementation mondiale si vous êtes basé aux États-Unis ou ailleurs et que vous vendez à des clients résidant dans l’UE.
Si vous stockez, traitez ou utilisez et transférez d’une quelconque manière des données sur des citoyens de l’UE vivant dans l’UE, vous devez être conforme au RGPD, quel que soit l’endroit où vous vous trouvez.
Le RGPD décrit les critères spécifiques suivants :
- Les entreprises présentes dans un pays de l’UE. En plus des entreprises basées principalement dans l’UE, si vous êtes basé aux États-Unis mais que vous avez un bureau satellite dans l’UE, vous devez vous conformer.
- Les entreprises qui ne sont pas présentes dans l’UE mais qui traitent les données des citoyens de l’UE. Par exemple, si vous avez un commerce en ligne basé aux États-Unis et que vous expédiez vers l’UE, vous devez être conforme au RGPD.
Qui est responsable de la conformité au RGPD au sein d’une entreprise ?
Le RGPD donne des définitions explicites concernant trois rôles/missions que vous devez exécuter pour garantir la conformité au RGPD :
- Les responsables du traitement (data controller) doivent définir la manière avec laquelle votre entreprise traite les données personnelles et comment vous utilisez ces dernières. Votre responsable du traitement doit également s’assurer que tous les sous-traitants externes avec lesquels vous travaillez sont eux-mêmes conformes au RGPD.
- Les sous-traitants de données (data processor) peuvent être une personne ou un groupe interne qui gère et traite les données ainsi que les enregistrements ou bien un partenaire, comme une société SaaS, que vous utilisez pour la gestion des données. Le RGPD tient explicitement les sous-traitants de données responsables des violations de données ou de la non-conformité au RGPD. Vous devez être au courant des processus de conformité au RGPD de tous les partenaires externes, car s’ils s’avèrent être responsables d’une violation, vous pouvez également être sanctionné.
- Les délégués à la protection des données (DPO) doivent être désignés pour gérer votre stratégie de sécurité des données et surveiller votre conformité au RGPD. Le RGPD stipule que vous devez avoir un DPO si vous remplissez des conditions particulières, lesquelles mentionnent néanmoins que chaque entreprise en a besoin.
Les entreprises n’ont pas nécessairement besoin d’embaucher des personnes spécifiques pour ces rôles/missions. Un membre de l’équipe existante peut accepter l’une des fonctions mentionnées ci-dessus, à condition qu’il soit conscient de ses responsabilités. Cependant, il est courant que les personnes occupant des postes de direction ou travaillant dans des services existants, comme celui s’occupant de la conformité légale, assument de telles responsabilités.
Quels droits le RGPD accorde-t-il aux consommateurs et aux utilisateurs ?
Le RGPD énonce explicitement huit droits applicables à tous les utilisateurs concernant leurs données. Si le RGPD s’applique à votre entreprise, sur la base des scénarios décrits précédemment, vous devez respecter et accorder de tels droits dans le cadre de la conformité au RGPD.
Les huit droits et leurs implications sont :
1. Le droit d’accès
Le droit d’accès donne aux individus le droit de vous demander l’accès à toutes les données que vous détenez à leur sujet. Les particuliers peuvent également vous demander comment vous utilisez, stockez ou traitez les données. Ils peuvent aussi vous demander si vous transférez ces dernières à d’autres entreprises et les moyens utilisés pour le faire. Vous devez fournir à toute personne qui demande ces données une copie électronique des données que vous détenez ainsi que toute information supplémentaire demandée, et ce sans frais.
2. Le droit à l’information
Le droit d’être informé signifie que vous devez informer les personnes que vous allez collecter et traiter des données avant de le faire. Ce droit implique également que vous devez obtenir un consentement explicite en amont. Il s’agit là d’un changement particulièrement important par rapport à la précédente directive sur la protection des données, dans laquelle le consentement implicite était considéré comme suffisant. Les individus devaient se désinscrire du traitement des données, plutôt que de leur demander s’ils acceptaient de participer à une telle démarche.
3. Le droit à la portabilité des données
Le droit à la portabilité des données donne aux utilisateurs le droit de transférer leurs données d’un endroit à un autre, quand ils le souhaitent.
4. Le droit à l’oubli
Le droit à l’oubli donne aux utilisateurs le droit de retirer leur consentement qui vous autorisait à stocker et utiliser leurs données et de vous demander de supprimer les données que vous détenez sur eux.
5. Le droit d’opposition
Le droit d’opposition donne aux utilisateurs le droit de s’opposer à la manière avec laquelle vous utilisez leurs données et de vous demander d’arrêter immédiatement de le faire. Sachez qu’il n’existe aucune exception à ce droit. Il n’y a aucun moyen pour vous de continuer à utiliser les données ou d’insinuer que le consentement reste valide. Vous devez immédiatement donner suite à une telle demande.
6. Le droit à la limitation du traitement
Le droit à la limitation du traitement permet aux utilisateurs de vous demander d’arrêter tout, ou un type spécifique, de traitement de données tout en vous permettant de continuer à conserver leurs données s’ils le souhaitent.
7. Le droit à la notification
Le droit d’être notifié en cas de violation compromettant leurs données. Vous devez informer les utilisateurs d’une telle violation dans les 72 heures suivant sa découverte.
8. Le droit de rectification
Le droit de rectification permet aux utilisateurs de vous demander de mettre à jour, corriger ou compléter les données que vous détenez sur eux.
Bien que les droits donnent aux consommateurs la possibilité de gérer étroitement la façon dont vous utilisez leurs données, aucun de ces droits ne doit présenter de défis majeurs pour votre entreprise.
RGPD : mise en œuvre et sanctions en cas de non-conformité
Bien que le RGPD soit une directive de l’UE, son application est gérée par diverses autorités de contrôle à travers le monde. La plupart des pays de l’UE ont des organes nationaux de protection des données, tandis que les pays hors-UE travaillent en collaboration avec l’UE pour assurer leur conformité.
Les sanctions en cas de non-conformité comportent plusieurs niveaux. Seules des infractions répétées ou graves et ponctuelles sont susceptibles d’entraîner des amendes maximales. La somme exigée dans de tels cas correspondra au montant le plus élevé parmi les 2 cas suivants :
- 4% du chiffre d’affaires global.
- 24,4 millions de dollars.
Même si votre entreprise a certainement dû investir pour garantir votre conformité au RGPD, il est peu probable que vous ayez eu à dépenser autant que le montant de l’amende en cas de non-conformité.
Les sept meilleures pratiques en matière de conformité au RGPD pour les entreprises basées aux États-Unis
Si vous êtes une entreprise basée aux États-Unis qui vend à des particuliers au sein de l’UE, vous devez être conforme au RGPD. Les lois sur la protection des données et leur application aux États-Unis n’ayant pas une très bonne réputation, mettre en œuvre le RGPD au niveau de l’ensemble de votre entreprise pourrait vous donner un avantage concurrentiel indéniable.
Mettez en œuvre les sept meilleures pratiques ci-dessous pour votre conformité au RGPD :
1. Assurez-vous que votre politique de confidentialité soit bien à jour
La plupart des gens ne la liront jamais et en général vous partez du principe que vous n’aurez jamais besoin de l’utiliser pour vous défendre devant les tribunaux. Cependant, il est important de maintenir votre politique de confidentialité à jour. Par conséquent, assurez-vous de la vérifier régulièrement.
2. Formez/sensibilisez vos équipes
Même si les membres de l’équipe ne travaillent pas directement avec les données que vous collectez auprès des clients ou des utilisateurs du site Web, assurez-vous qu’ils connaissent le RGPD et les actions menées pour garantir la conformité.
3. Ayez un plan en cas de violation de données et surtout testez-le !
Vous testez sans doute régulièrement des éléments tels que vos alarmes incendie, alors assurez-vous également de tester votre plan en cas de violation de données. Qui est responsable du signalement des violations de données, à qui doit-il les signaler et qui doit communiquer avec les personnes dont les données ont été compromises ?
4. Gardez votre «inventaire de données» à jour
Si vous pouvez montrer que vous avez un consentement explicite pour stocker et utiliser des données, cette tâche devrait être plutôt simple. Si vous faites des sauvegardes des données utilisateur, assurez-vous de les traiter également si des personnes vous demandent de supprimer leurs données. Vous ne voulez certainement pas vous exposer à une sanction parce que vous avez oublié de supprimer des données dans une sauvegarde, que vous avez dû ensuite utiliser !
5. Veillez à ce que votre infrastructure de sécurité ait toujours une longueur d’avance
Le moyen le plus simple de s’en assurer est de trouver des logiciels et des plateformes de sécurité conformes au RGPD et de les utiliser dans votre entreprise.
6. Assurez-vous que tous les partenaires soient conformes au RGPD
N’oubliez pas que si vous utilisez un outil comme une plateforme CRM pour stocker des données et que le fournisseur de services ne respecte pas le RGPD, vous êtes également passible d’une sanction. Faites vos propres vérifications et assurez-vous que vos partenaires déclarent clairement, dans tout contrat, qu’ils sont bien conformes au RGPD.
7. Maintenez les mêmes niveaux de protection des données en cas de transfert ou d’utilisation de données en dehors de l’UE
Ce point en particulier est une préoccupation vitale pour les entreprises américaines. Le RGPD stipule que vous devez maintenir les mêmes niveaux de protection des données pour les citoyens de l’UE, même si les données sont transférées ou utilisées en dehors de l’UE. Dans cet esprit, il est logique de déployer le RGPD au niveau de l’ensemble de votre entreprise, et ce surtout si vous stockez au même endroit les données collectées auprès des clients de l’UE et des États-Unis.
Comment utiliser LogPoint pour la conformité au GDPR ?
LogPoint permet à votre entreprise de répondre plus facilement aux exigences du RGPD, en vous donnant à vous ainsi qu’à vos clients la confiance nécessaire lorsque vous stockez et utilisez les données personnelles. Nous pouvons vous aider à stocker des données, tout en surveillant vos réseaux et vos applications, afin que vous puissiez identifier les problèmes potentiels en cas de violation de données ou de tentatives d’accès à ces dernières. Nos analyses permettent également à votre équipe de sécurité de surveiller de manière proactive tous les problèmes potentiels, notamment la création et la modification de fichiers de données.
Découvrez comment nous pouvons vous aider à vous conformer au RGPD et consultez nos cas d’usage pour obtenir des exemples précis qui illustreront la manière avec laquelle vous pouvez utiliser LogPoint au sein de votre entreprise.