Date limite de conformité GDPR : comment être conforme en anglais simple

Publié: 2018-05-15
Roshni Cheikh
Contributeur invité

Pensez simplement à ce qui a poussé des entreprises comme Google, LinkedIn, Twitter et autres à modifier leurs conditions d'utilisation et leurs politiques de confidentialité les unes après les autres. Vous devez avoir remarqué les notifications maintenant.

Oui, Facebook est déjà sous les feux de la rampe pour les divergences de données utilisateur. Mais regardez ce qui arrive à toutes les politiques de cookies. Les entreprises mettent à jour leurs conditions rapidement.

Qu'est-ce qui déclenche cette frénésie ? Bien sûr, cela se produit à cause d'une loi qui a réussi à remuer le monde des affaires - GDPR

La loi GDPR de l'Union européenne entre en vigueur le 25 mai 2018. Cela fait l'actualité depuis sa création et son adoption par le Parlement européen en avril 2016.

La loi affectera les entreprises qui gèrent une grande quantité de données. Cela s'applique à toutes les données des citoyens de l'UE, quel que soit leur emplacement.

Qu'est-ce que le RGPD et pourquoi est-il déployé ?

En termes simples, en tant que personne résidant dans l'UE, mes données sont protégées grâce au RGPD.

RGPD signifie Règlement général sur la protection des données. Elle remplace l'ancienne et obsolète directive sur la protection des données de 1995. Le RGPD est plus pertinent aujourd'hui car beaucoup de choses ont changé sur une période de deux décennies.

Les avancées technologiques rapides et le traitement/l'utilisation des données par les entreprises ont conduit à réaliser la nécessité d'une loi comme le RGPD.

Ce nouveau règlement entre en vigueur pour redonner le contrôle des données personnelles aux citoyens de l'UE. Il est mis en œuvre pour contrôler la capacité d'une entreprise à exploiter les données personnelles du public. GDPR est déployé pour donner aux citoyens leurs droits numériques .

Cette loi n'oblige pas les gouvernements nationaux à adopter une législation de sanction. Cela signifie qu'il s'applique naturellement à toute personne, organisation ou entreprise qui traite les données des citoyens de l'UE.

Cette loi s'applique à votre entreprise, que votre entreprise opère au niveau entreprise à entreprise ou au niveau entreprise à consommateur.

Comment le RGPD affectera-t-il votre entreprise ?

Concernant l'effet de la vague GDPR, il y a à la fois de bonnes et de mauvaises nouvelles. Voyons pourquoi.

Certains propriétaires de petites entreprises paniquent et se plaignent de la soudaine surcharge de travail. Russel Xiam, propriétaire d'une société de support produit, affirme qu'il y a tant à faire pour migrer vers des plates-formes logicielles conformes au RGPD.

Planifier pour le RGPD équivaut à revoir vos choix commerciaux. Russel Xiam

Cela implique que les petites entreprises sont les plus touchées.

John Higham, propriétaire d'Azybao, une société de gestion de projets, a déclaré que les gens refusent de faire affaire avec des entreprises européennes parce qu'ils ont peur d'être pris dans le pétrin.

Isabelle Trijt, responsable des ressources humaines en Allemagne, déclare –

J'ai dû modifier/changer/supprimer les nouvelles politiques d'embauche et d'intégration des employés afin que nous restions dans le cercle conforme au RGPD. J'ai également dû assumer la responsabilité de supprimer tous les anciens enregistrements contenant les données des personnes interrogées par le passé.

Pour ajouter à cela, un propriétaire d'entreprise à Bruxelles a migré vers MailChimp à partir de Convertkit car Convertkit ne proposait pas d'option de case à cocher permettant à l'utilisateur de "choisir" les données. Cela implique que les propriétaires d'entreprise abandonnent les fournisseurs de services de messagerie qui ne donnent pas plus de contrôle à l'utilisateur, bien que Convertkit ait mis à jour leur fonctionnement à partir d'aujourd'hui.

Cela a du sens car vous, en tant qu'entreprise, ne devriez pas être mis en danger en raison des règles que votre fournisseur de services de messagerie n'a pas suivies. Après tout, le répondeur par e-mail peut avoir des politiques qui ne se tiennent pas responsables de toute perte causée à votre entreprise, n'est-ce pas ?

Bien qu'il soit rare qu'un tel scénario se produise, vous serez toujours tenu responsable de ne pas vous conformer aux lois car c'est votreliste de courrier électronique.

D'autre part, Sidney Burks, le CTO et co-fondateur d'Ivizone de France dit,

Les nouvelles politiques n'ont pas eu un effet énorme sur notre entreprise. Cela pourrait être dû en grande partie au fait que la législation française avait déjà des exigences assez strictes en matière de protection des données et de confidentialité. Le RGPD nous a obligés à intégrer la confidentialité des données au cœur de nos produits et à y penser de fond en comble, mais comme nous développons une nouvelle version de notre produit, nous avons pu le faire de manière propre et efficace.

Sidney ajoute également que le RGPD a obligé les entreprises à mettre de l'ordre dans leurs maisons de données. Ils ont maintenant ajouté des politiques supplémentaires pour supprimer les données obsolètes et inutiles et renforcé leurs politiques de sécurité internes concernant le stockage et l'accès aux données. Cela signifie qu'ils offrent un niveau de sécurité des données plus élevé à leurs clients.

Ainsi, si votre entreprise ou organisation gère et traite des données utilisateur, vous devez vous préoccuper de la sécurité de vos données utilisateur. Vous êtes obligé d'être conforme au RGPD dans ce cas. Si votre entreprise ne respecte pas la loi RGPD, vous risquez de lourdes sanctions.

La pénalité la plus élevée pour l'écart le plus grave vous coûtera 4 % de votre chiffre d'affaires global ou 20 millions d'euros, selon le montant le plus élevé (plus d'informations sur les pénalités dans les sections suivantes).

La loi RGPD s'applique à ____ ?

Il y a une grande confusion quant à savoir à qui s'applique la loi. Il y a peu de sources qui parlent des citoyens de l'UE et il y en a d'autres qui parlent des résidents de l'UE.

La confusion survient lorsque les personnes ayant des droits GDPR sont référencées comme des « personnes concernées ». Mais qui sont ces personnes concernées ?

Les personnes concernées, qui sont-elles ?

Le RGPD s'applique-t-il à toutes les données des citoyens de l'UE ?

Ou s'applique-t-il uniquement aux personnes résidant dans l'UE ?

La personne concernée est définie comme une personne physique dont les données personnelles sont traitées par un responsable du traitement ou un sous-traitant. Le responsable du traitement ou le sous-traitant peut être une entreprise ou une entité employée par l'entreprise qui spécifie l'entonnoir de traitement des données.

Le terme « personnes concernées » n'a pas de définition spécifique. En fait, c'est une connotation. Le RGPD oblige les entreprises à protéger la vie privée et les informations personnelles des citoyens de l'UE dans le cadre de toute transaction effectuée dans les États membres de l'UE. Selon Cyber ​​Counsel, toute personne présente dans les États membres de l'UE à un moment donné devient une personne concernée.

Quels sont les types de données qui font l'objet d'un examen minutieux?

Le RGPD considère toute donnée personnelle concernant une personne physique comme appartenant à cette personne. Le type de données peut inclure :

  • Informations numériques
  • Données biométriques
  • Données génétiques
  • Données cryptées
  • Données personnelles

Les droits d'une personne concernée :

1. Selon le RGPD de l'UE, vous pouvez choisir d'être ou non une personne concernée. Cela signifie que vous pouvez refuser que vos données soient traitées et, ce faisant, vous exercerez votre droit de ne pas être une personne concernée.
2. Si vous choisissez d'être une personne concernée, vous avez le droit d'être informé de vos données. Vous détenez le droit de rechercher tout traitement d'informations impliquant vos informations personnelles.

3. Vous disposez également des pleins pouvoirs et de l'autorité pour modifier vos données personnelles ou retirer vos données à tout moment. C'est la principale raison pour laquelle les entreprises devraient fournir des options de case à cocher (abordées dans la section ci-dessus) pour donner à l'utilisateur plus de liberté et de pouvoir pour obtenir son consentement.

4. Une personne concernée peut également s'opposer au traitement de tout ou partie de ses données si elle pense que les données traitées sont inexactes ou incorrectes.

5. Une personne concernée peut également s'opposer ou résister au transfert de ses données d'un fournisseur de services à un autre. De plus, en tant que personne concernée, vous pouvez également demander la suppression de vos données des enregistrements. Mais ce droit peut ne pas être acquis par la personne concernée si les données traitées sont à des fins légales, à des fins de santé publique, à des fins de recherche, etc.

En bref, il s'applique à tous les résidents de l'UE, indépendamment de l'emplacement de l'entreprise, de l'organisation ou de leur citoyenneté. De plus, la violation des droits des personnes concernées entraîne de lourdes sanctions.

Quels sont les facteurs qui déterminent une pénalité?

1. Violations passées - Si vous avez des antécédents de violations, que ce soit du point de vue du RGPD ou de la directive sur la protection des données précédemment active, ce sera un facteur qui déterminera le montant de la pénalité.
2. Cause - La violation peut être intentionnelle et à des fins lucratives. Ou cela aurait été le résultat d'une étape négligeable. Dans tous les cas, l'instance décisionnelle fixe le montant de la sanction en fonction de la cause.
3. Type d'informations – Cela dépend de la classification des informations utilisées. Par exemple, une entreprise peut avoir utilisé les données génétiques ou biométriques d'une ou plusieurs personnes à des fins commerciales. Cela peut entraîner une pénalité plus élevée que des informations telles que les détails de l'emploi. Encore une fois, la peine est entièrement fixée dans le cadre de la discrétion et des limites des lois de l'UE.
4. Solutions et mesures – Si vous avez pris des mesures pour atténuer les dommages causés à une personne ou à un groupe de personnes directement touchées par votre entreprise, cela deviendra également un facteur déterminant.
5. Mesures préventives - L'UE a eu une période de transition de 2 ans avant d'entrer en vigueur et une application complète en mai 2018. Si votre entreprise a pris des mesures pour rester conforme aux lois GDPR et pourtant, une infraction a eu lieu, ce sera un point à souligner avant que la pénalité ne soit fixée.
6. Intention - Si les dommages aux données étaient intentionnels, cela pourrait déclencher une pénalité.
7. Coopération et relations - Si l'entreprise a été obligée de coopérer avec l'autorité de surveillance pour réparer les dommages et éventuellement inverser la violation, cela agit comme un positif qui peut réduire la peine.
8. Rapports – Si la violation a été signalée de manière proactive par l'organisme contrevenant lui-même ou si elle a été signalée par une source secondaire.

Veuillez noter qu'aucun des facteurs ci-dessus ne garantit une sanction spécifique, car la détermination de l'amende relève entièrement de la discrétion des lois de l'UE.

Pour plus d'informations, reportez-vous aux principes fondamentaux qui ont conduit à l'application de la loi GDPR ici .

Nommer un Délégué à la Protection des Données (DPO)

Les données traitées dans votre entreprise peuvent être soumises à un contrôle. Si vous avez besoin d'aide pour organiser votre entreprise afin de vous conformer au RGPD, l'organisme de l'UE vous conseille de consulter un expert.

Chacun des États membres de l'UE peut désigner une ou plusieurs autorités publiques indépendantes pour aider à surveiller la conformité des lois sur les données.

Selon le RGPD, des délégués à la protection des données doivent être nommés si votre entreprise opère aux niveaux suivants :

1. Organisations qui agissent en tant qu'autorités publiques

2. Entreprises qui s'occupent de l'agrégation et de la surveillance de données à grande échelle

3. Les entreprises qui s'occupent du traitement à grande échelle d'informations personnelles cruciales

5 mythes sur le RGPD

1. Les entreprises américaines sont fortement touchées - Toutes les entreprises (pas seulement les entreprises américaines) ayant des clients dans l'UE doivent se conformer à la loi.

2. Les propriétaires de petites entreprises n'ont pas à s'inquiéter du RGPD - Une petite ou grande entreprise : si elle gère les données des utilisateurs, elle doit être conforme au RGPD.

3. Le consentement de l'utilisateur n'est pas obligatoire si l'utilisateur choisit de saisir ses informations personnelles lors de l'inscription - Le consentement explicite de l'utilisateur sous la forme d'une case à cocher est obligatoire à partir du 25 mai 2018.

4. Si vous ne faites pas d'affaires au sein de l'UE, vous ne devriez pas vous inquiéter - Si vous êtes une entreprise qui traite les données des citoyens de l'UE, quel que soit l'emplacement des citoyens, le RGPD s'applique.

5. Les données de l'utilisateur sont uniquement les données fournies par les utilisateurs - Toutes les données collectées, générées, modifiées, transformées ou acquises sous la forme de cookies, le comportement de l'utilisateur sont toujours des données de l'utilisateur.

Conclusion

Si vous êtes une entreprise avec un site Web qui collecte des informations personnelles sur les personnes concernées, vous êtes désormais obligé de mettre en œuvre des moyens conformes à la loi pour acquérir des informations sur les utilisateurs. Par exemple, si vous avez un pop-up ou un formulaire d'abonnement sur votre site Web, la seule façon de vous assurer que vous obtenez le consentement de l'utilisateur est de :

  • Mettre en œuvre la méthode de double opt-in qui regroupe uniquement les membres intéressés avec leur consentement.
  • Donner à l'utilisateur la possibilité de choisir de réglementer ses données.
  • Donner à l'utilisateur la possibilité de se désabonner.
  • S'assurer que tous les services tiers que vous utilisez sont conformes au RGPD.
  • Garder vos procédures d'acquisition de données sous contrôle.
  • Communiquer vos politiques de confidentialité de manière transparente.
  • Désigner un délégué à la protection des données ou éduquer et former votre entreprise pour éviter la violation de données.
  • Assurer des audits réguliers et l'accessibilité des données.
  • Minimiser les données que vous détenez et traitez.

Avis de non-responsabilité : les informations ci-dessus sont uniquement fournies à titre de référence et à des fins d'information. Il ne s'agit pas d'un avis juridique. Veuillez consulter un conseiller juridique pour tout autre conseil.