Le RGPD expliqué
Qu’est-ce que le RGPD?
Le RGPD (Règlement général sur la protection des données) est un cadre juridique conçu pour protéger la vie privée des individus au sein de l’Union européenne (UE) et leur accorder un plus grand contrôle sur la manière dont leurs données personnelles sont collectées, traitées et utilisées.
Le RGPD s’applique au traitement des données personnelles partout dans le monde par des entreprises établies au sein de l’UE. Il s’applique également à l’échelle mondiale à toute entreprise hors de l’UE qui traite les données personnelles d’individus dans le cadre de l’offre de biens/services au sein de l’UE ou de la surveillance du comportement de personnes dans l’UE.
Le RGPD a été intégré dans les lois nationales de l’UE et du Royaume-Uni.
Quelles sont les principales exigences du RGPD?
Le RGPD est une avancée positive vers la création d’une plus grande confiance et transparence entre les organisations et les individus. Certaines des zones qu’il couvre sont :
- Les données personnelles des personnes au sein de l’UE : cela inclut toute information liée à un individu ou à un « sujet de données » qui peut être utilisée pour identifier directement ou indirectement cette personne. Cela englobe non seulement des informations telles qu’un nom, une adresse e-mail ou une photo, mais aussi des détails de carte de crédit ou bancaire, des informations médicales, des affiliations politiques, religieuses ou autres, des antécédents criminels, ou encore l’adresse IP d’un ordinateur. Il n’y a pas de distinction sous le RGPD entre les données personnelles collectées dans un contexte de commerce de consommation ou de commerce interentreprises, cependant il existe d’autres lois concernant l’utilisation des communications électroniques, qui diffèrent lorsqu’il s’agit de traiter directement avec des consommateurs.
- Comment les informations personnelles sont traitées: Les informations personnelles ne peuvent être collectées et traitées que s’il existe une base juridique pour le faire. Le consentement est l’une des bases qui peut être utilisée à des fins de marketing direct, cependant, ce n’est pas la seule base légale. D’autres motifs de traitement légal des données personnelles conformément à l’article 6 du RGPD incluent l’exécution d’un contrat, le respect d’une obligation légale ou l’existence d’un « intérêt légitime » de l’entreprise ou d’un tiers qui, en balance, ne porte pas atteinte aux droits à la vie privée de l’individu.
- Les droits des individus: Les individus ont le droit de demander: l’accès à leurs données personnelles, la correction des erreurs dans leurs données personnelles, l’effacement de leurs données personnelles, et/ou l’exportation de leurs données personnelles. Ils peuvent également s’opposer au traitement de leurs données personnelles ou demander que les activités de traitement soient restreintes.
- Violations de données: Il existe des obligations de signaler certains types de violations de données à l’autorité de contrôle compétente et aux individus concernés (pour le Royaume-Uni, l’autorité compétente est l’Information Commissioner’s Office (ICO).
- Sécurité des données et des systèmes : Les données personnelles doivent être protégées en utilisant des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques de confidentialité associés à chaque donnée personnelle tout au long de son cycle de vie.
- Transferts transfrontaliers : Les données personnelles ne peuvent être transférées en dehors de l’Europe que dans des circonstances limitées, notamment : i) vers des pays non européens pour lesquels la Commission européenne a déterminé qu’ils offrent un niveau de protection des données adéquat ;
(ii) lorsque des clauses standard de protection des données approuvées par la Commission européenne sont utilisées par les parties au transfert ; iii) lorsque des codes de conduite ou certifications approuvés sont en place ; ou iv) lorsque des « Règles d’entreprise contraignantes » approuvées par la Commission européenne ont été adoptées par des groupes d’entreprises. - Transparence: Les avis de confidentialité et les contrats d’utilisation doivent être simples, clairs et faciles à comprendre. Lors de la collecte de données personnelles, il doit être clair, entre autres, à quelles fins les données seront utilisées, comment et pendant combien de temps elles seront conservées, sur quelle base légale elles sont traitées, et quels sont les droits disponibles pour l’individu. Une fois collectées de manière légale, les données personnelles ne doivent être utilisées que dans les buts pour lesquels elles ont été collectées et strictement conformément aux informations données à l’individu.
Que signifie le RGPD pour les entreprises?
Le RGPD consiste à être clair, honnête, transparent et éthique avec les données personnelles. Il s’applique aux entreprises qui sont des responsables du traitement des données (la personne / entreprise qui détermine comment les données personnelles sont traitées) ou des sous-traitants (la personne / entreprise qui traite les données personnelles sous instruction du responsable du traitement des données). Si vous êtes une telle organisation, vous devez vous assurer de protéger les données que vous utilisez et la vie privée de ceux dont vous les avez collectées, comme vous le feriez avec tout autre actif.
Voici cinq étapes simples que vous pouvez suivre pour vous conformer au RGPD :
- Sécurisez vos systèmes: assurez-vous que les systèmes qui collectent, traitent et stockent des données personnelles sont sécurisés. Vous devriez prendre en compte des aspects tels que la sécurité physique (par exemple, les serrures), la cybersécurité (par exemple, les antivirus), la sécurité des systèmes (par exemple, les pare-feux), la sécurité des données (par exemple, le chiffrement) et la sécurité des appareils (par exemple, l’authentification).
- Documentez vos flux de données : cartographiez vos flux de données et d’informations pour vous aider à réaliser une évaluation appropriée de vos risques en matière de confidentialité. Vérifiez quels sont vos produits et services qui collectent et traitent des données personnelles. Identifiez quelles informations personnelles sont collectées, pourquoi elles sont collectées, comment elles sont utilisées, partagées, stockées, protégées, conservées et éliminées. Déterminez si les données sont des données personnelles sensibles et si vous êtes un responsable du traitement ou un sous-traitant de ces données..
- Have a lawful basis for processing: determine the lawful basis for the processing of personal data and document it. There are six lawful bases that can be relied upon:
- Consentement : lorsqu’il y a un choix et un contrôle authentiques. Le consentement doit être non équivoque, libre, éclairé et donné par une action claire et affirmative.
- Intérêt légitime : peut s’appliquer lorsque les informations personnelles sont utilisées de manière que l’individu pourrait raisonnablement s’attendre, qu’il y a un impact minimal et qu’il existe un intérêt légitime nécessaire au traitement.
- Contrat : pour remplir des obligations contractuelles ou s’il y a eu une demande pour quelque chose comme fournir un devis avant de conclure un contrat.
- Obligation légale : pour se conformer à une loi ou une obligation légale.
- Intérêt vital : pour protéger la vie de quelqu’un.
- Mission d’intérêt public : pour des fonctions ou tâches publiques dans l’intérêt public.
L’Information Commissioner’s Office dispose d’un outil interactif sur les bases légales qui peut vous aider à déterminer la base légale la plus appropriée pour le traitement des données personnelles.
- Révisez vos avis et divulgations : révisez et mettez à jour vos avis de confidentialité pour vous assurer qu’ils reflètent vos activités de traitement des données personnelles. Ils doivent divulguer la base légale sur laquelle vous vous appuyez pour le traitement des données personnelles et indiquer clairement les tiers avec lesquels vous partagez des données personnelles. Si vous vous appuyez sur le consentement, assurez-vous que vos demandes de consentement sont claires et n’incluent pas de cases précochées. Révisez et mettez à jour ou déterminez si d’autres déclarations ou divulgations concernant la collecte, l’utilisation et le traitement des informations personnelles sont nécessaires.
- Loi fédérale sur la protection des données personnelles : en acceptant l’utilisation de ces services, vous acceptez explicitement que vos données personnelles soient traitées par Extu dans le cadre de ces services, conformément à la Loi fédérale sur la protection des données personnelles détenues par des particuliers (Loi fédérale sur la protection des données personnelles).
- Établissez des politiques et procédures internes : établissez des lignes directrices et des processus formalisés pour vous aider à gérer des situations telles que les plaintes liées à la vie privée, les violations de données et les demandes d’accès aux informations personnelles.
Vous devriez également discuter avec vos conseillers juridiques de ce que vous devez faire pour être conforme au RGPD.
Autres ressources sur le RGPD
Vous pouvez obtenir des informations plus utiles sur le RGPD auprès de l’Information Commissioner’s Office (ICO) du Royaume-Uni – Guide du RGPD.
Ce matériel est fourni à titre d’information générale et n’a pas vocation à fournir des conseils juridiques. Pour comprendre pleinement l’impact du RGPD sur l’une de vos activités de traitement des données, veuillez consulter un professionnel indépendant du droit et/ou de la confidentialité.