Le Règlement général sur la protection des données (RGPD) est un règlement de l’Union européenne sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et sur la libre circulation de ces données. La RGPD vise à harmoniser les réglementations en matière de protection des renseignements personnels au sein des États membres de l’UE, en vue d’assurer un niveau égal de protection des renseignements personnels pour tous les individus au sein de l’UE.
Elle impose des exigences explicites aux responsables du traitement des données qui contrôlent, stockent ou traitent les renseignements personnels. Il établit une série de droits pour les personnes concernées et contient un certain nombre de sanctions en cas d’infraction.
Toutes les organisations, quelle que soit leur localisation, sont désormais soumises aux mêmes règles de protection des données au sein de l’Union européenne. Toute entreprise qui ne respecte pas le RGPD est passible d’amendes pouvant atteindre 4 % du chiffre d’affaires global annuel ou 20 millions d’euros, selon le montant le plus élevé.
Le RGPD interdit la vente de renseignements personnels à des sociétés internationales ou à des gouvernements. Il restreint également l’utilisation des renseignements personnels pour des choses comme la recherche scientifique ou historique. Le RGPD interdit également l’utilisation de renseignements personnels à des fins de marketing.
Le RGPD fixe quatre objectifs principaux dans le règlement:
1. Assurer et renforcer la sécurité du traitement
Tout traitement doit être effectué avec des mesures appropriées pour protéger les données à caractère personnel et prévenir leur destruction ou perte accidentelle ou illégale, leur altération, leur divulgation non autorisée.
2. Assurer le traitement des droits des personnes concernées
La RGPD veille à ce que les individus puissent exercer leurs droits à comprendre quelles informations sont collectées, comment elles seront utilisées et la logique du traitement des données, savoir si leurs données personnelles sont traitées ou non, avoir accès à leurs informations, décider de la manière dont elles doivent être traitées et contacter un point de contact unique en cas de problème. Le Règlement veille également à ce que les organisations ne puissent pas recourir à des exemptions telles que la protection de la vie privée dès la conception, car cela a effectivement préséance sur le droit à la connaissance des individus.
3. Assurer un traitement efficace et transparent
Des mesures techniques et organisationnelles suffisantes doivent être mises en place pour garantir un traitement responsable des données à caractère personnel et une protection contre la perte accidentelle de, ou l’accès aux données à caractère personnel.
4. Garantir des garanties appropriées
Chaque opération de traitement doit être effectuée conformément au RGPD et avec des garanties appropriées telles que la pseudonymisation, cryptage ou accès restreint.
Nos conseils pour une RGPD aux normes
La loi RGPD s’applique à toute entreprise qui collecte ou traite des données à partir de l’Union européenne, les règlements s’appliquent, qu’il s’agisse d’une petite clinique ou d’une société internationale. Même les petites entreprises sont soumises à ces lois si elles traitent des données sur les citoyens de l’UE à des fins commerciales sur leurs produits et services.
1. Commencer une vérification.
Si vous avez déjà recueilli des données, vous voudrez vérifier que vous êtes entièrement en conformité avec le RGPD et toutes les autres lois de confidentialité applicables dans votre pays. Pour ceux d’entre vous qui n’ont pas encore recueilli de renseignements personnels, il y a quelques éléments à prendre en considération avant de commencer. Le RGPD est un ensemble complet et complexe de règlements et vous voudrez savoir exactement quel type d’information vous avez besoin pour offrir votre service efficacement. Vous voudrez également vérifier dans quels pays votre entreprise opère afin que vous puissiez prendre des considérations spéciales pour les régions avec des lois plus strictes sur la vie privée.
2. Effectuer une évaluation des facteurs relatifs à la vie privée (ÉFVP).
Pour aider à déclencher un changement de pratiques commerciales, accessible en tant que modèle en cliquant ici ou en recherchant « évaluation des facteurs relatifs à la vie privée » dans votre moteur de recherche préféré, ou téléchargez un pack de modifications téléchargeable ici et imprimez-le en fonction de votre objectif. Si vous avez déjà recueilli des données et que vous n’êtes pas prêt à cesser de les recueillir, mais que vous souhaitez tout de même apporter des changements, vous pouvez envisager ce qui suit :
- Ajouter des énoncés de confidentialité
Vous pouvez ajouter des énoncés simples pour expliquer comment votre entreprise recueille, utilise et protège les données personnelles. - Mettez à jour vos modalités
Vous devez examiner votre déclaration de confidentialité existante et vous y conformer dans toute la mesure du possible, en vous assurant d’avoir le consentement nécessaire des personnes. Vous pouvez également inclure un énoncé sur la façon dont vous protégerez leurs renseignements entièrement conformément aux normes du RGPD. - Mettre à jour votre évaluation de l’impact sur la protection des données
Toute entreprise dont les activités de traitement présentent un risque pour les personnes concernées devrait effectuer un DPIA. Le RGPD exige la réalisation d’un DPIA avant le début du traitement ou au moins dans les 4 mois suivant le début de vos activités. Si vous recueillez et traitez encore des données pour votre entreprise, il y a de bonnes chances que votre processus actuel tombe sous l’exigence. Une LPPI est plus qu’une simple évaluation des risques, il s’agit en fait d’une analyse structurée des répercussions potentielles sur une personne en cas d’atteinte à la sécurité. Il comprend également une analyse de vos mesures techniques et organisationnelles pour protéger les données personnelles contre les atteintes, la perte ou le piratage. - Vérifiez votre délégué à la protection des données (DPO)
En vertu de la RGPD, chaque processeur qui travaille avec des données personnelles ou y accède doit désigner un APD qui sera responsable de fournir toutes les informations pertinentes relatives au respect du RGPD et des autres lois applicables en matière de confidentialité.
3. Créez une politique de confidentialité pour votre entreprise.
Créez une politique d’information pour votre entreprise ou organisation. Il s’agit d’un document interne qui informe le personnel, les clients et les sous-traitants de la politique de confidentialité de l’organisation et de la façon dont les données seront utilisées. La politique de confidentialité peut être téléchargé ou encore accessible en cherchant « politique d’information » dans la barre de recherche du site.
En vertu de la RGPD, vous devez inclure certaines informations concernant votre politique de confidentialité dans vos conditions d’utilisation et votre politique de confidentialité. Vos utilisateurs en ligne doivent accepter ces politiques avant d’utiliser votre site Web.
4. Vérifiez les outils de gestion des données de votre organisation.
De nombreuses entreprises disposent d’outils pour faciliter la collecte, le stockage ou l’analyse de leurs données. Vous devez vous assurer qu’ils sont tous conformes au RGPD et configurés de manière à minimiser la quantité de données que vous collectez, stockez et analysez.
