Les obligations de la conformité RGPD
Le Règlement Général sur la Protection des Données (RGPD) est une législation de l'Union Européenne qui a été adoptée en avril 2016 et est entrée en vigueur le 25 mai 2018. Ce règlement a pour but de renforcer et d'harmoniser la protection des données personnelles des individus au sein de l'Union Européenne. La conformité au RGPD est devenue une obligation légale pour toutes les organisations qui traitent des données personnelles de résidents de l'UE, qu'elles soient situées dans l'UE ou non.
Recueillir le consentement
Le consentement correspond à toute manifestation de volonté par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement. Le responsable du traitement doit informer toute personne dont les données sont collectées.
Cette obligation s'applique que la collecte soit :
- de données personnelles « sensibles » ;
- pour une réutilisation des données pour d'autres finalités ;
- directe (ex : données recueillies auprès de la personne dans un formulaire) ;
- indirecte (ex : données récupérées auprès de partenaires commerciaux…) ;
- à des fins de prospection commerciale par voie électronique (Newsletter, mailing…).
Comment recueillir un consentement valable ?
- Le consentement doit être libre : il ne doit être ni contraint ni influencé.
- Le consentement doit être éclairé : avant de consentir, la personne concernée doit avoir reçu une information suffisante.
- Le consentement doit être spécifique : si le traitement comporte plusieurs finalités, la personne concernée doit pouvoir donner son consentement de façon indépendante pour l’une ou l’autre de ces finalités.
- Le consentement doit être univoque : il doit être donné par un acte délibéré, sans aucune ambiguïté.
L'information doit être délivrée au moment de la collecte (en cas de collecte directe) ou dans un délai raisonnable après avoir obtenu les données, sans dépasser 1 mois (en cas de collecte indirecte).
Les informations doivent être transmises de façon concise, transparente, compréhensible et facilement accessible, en des termes clairs et simples. Autrement dit, l’information doit être présentée de manière efficace et succincte pour ne pas être noyée parmi d’autres contenus informatifs. Chaque fois que l’utilisateur transmet des données, il doit cocher une case « j’accepte » et avoir accès à un lien renvoyant vers la politique de confidentialité du site.
Le droit à la modification, à l’effacement et à la portabilité
Le responsable du traitement doit garantir des droits aux personnes dont les données sont collectées : droit d'accès, droit de rectification, droit d'effacement, droit à la portabilité des données ainsi que le droit d'opposition au traitement.
D’autre part, le site doit également fournir un moyen de récupérer ses données rapidement au moyen d'un formulaire en ligne, d'une messagerie ou d'un mail de contact.
Le responsable a 1 mois pour répondre à compter de la date de réception de la demande, y compris s'il ne dispose d’aucune donnée sur la personne qui exerce son droit d’accès.
Les mesures de protection
L’entreprise doit mettre en place des mesures de protection des données. Chaque entité qui traite des données doit garantir le niveau de sécurité le plus élevé possible.
Désignation d’un délégué à la protection des données
Un délégué à la protection des données doit être obligatoirement désigné dans les 3 cas suivants :
- Collecte de données à grande échelle ;
- Administrations publiques ;
- Récolte de données sensibles (santé, informations bancaires, infractions pénales…)
Si votre entreprise ou administration fait partie des cas précédents, elle devra avertir les utilisateurs et la CNIL dans un délais de 72 heures en cas de fuite d’information, de façon à être en conformité RGPD.
Mise à jour de sa politique de confidentialité
Pour être en conformité RGPD, il est important de mettre à jour sa politique de confidentialité ou d’ajouter une page de gestion des données personnelles.
Celle-ci doit impérativement contenir les informations suivantes :
- Vos coordonnées, celles de l’éditeur du site, celles de l’hébergeur ;
- Le type de données récoltées ;
- Pourquoi vous collectez ces données ;
- Combien de temps vous les stockez ;
- Les mesures de sécurité mises en place afin d’assurer leur protection ;
Rédaction d’un registre des activités de traitement
La rédaction d’un registre des activités de traitement est impérative pour toutes les entreprises de plus de 250 salariés. Il s’agit d’un document basé sur les techniques utilisées pour récolter, stocker et utiliser les données des utilisateurs.
En savoir plus sur le registre des activités de traitement
Les entreprises de moins de 250 salariés doivent uniquement mentionner les informations suivantes concernant les traitements :
- Non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.)
- Susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
- Portant sur des données sensibles (exemple : données de santé, infractions, etc.)
Responsabilité les sous-traitants
Les organismes qui exploitent des données personnelles pour le compte d’autres entreprises sont dans l’obligation de tenir un registre des activités de traitement effectuées pour le compte de leurs clients. Les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité, de documentation et de conseil auprès des clients pour le compte desquels ils traitent des données.
Sont notamment concernés :
- les prestataires de services informatiques (hébergement, maintenance, …),
- les intégrateurs de logiciels,
- les sociétés de sécurité informatique,
- les entreprises de service du numérique (anciennement SSII) qui ont accès aux données,
- les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients
En savoir plus sur la responsabilité des sous-traitants
En résumé
La conformité au RGPD est une démarche essentielle pour toute organisation traitant des données personnelles de résidents de l'Union Européenne.
Elle implique une compréhension approfondie des principes et des obligations du règlement, ainsi que la mise en œuvre de mesures techniques et organisationnelles appropriées pour assurer la protection des données personnelles.
La conformité au RGPD n'est pas seulement une exigence légale, mais aussi un moyen de renforcer la confiance des clients et des partenaires, en démontrant un engagement fort en faveur de la protection des données personnelles.