Le sigle RGPD désigne le Règlement général sur la protection des données (le Règlement (UE) 2016/679), qui décrit les principes à respecter pour traiter les données personnelles en toute légalité (y compris les recueillir, les utiliser, les protéger ou interagir avec elles de façon générale).
L’objectif du RGPD est de renforcer la protection des données pour toutes les personnes dont les données personnelles relèvent de son champ d’application, afin de leur redonner le contrôle de leurs données personnelles.
Dans le cadre du RGPD, les données personnelles désignent toutes les données qui se rapportent à une personne vivante identifiée ou identifiable. Ces données incluent donc des informations qui, lorsqu’elles sont recueillies ensemble, peuvent permettre d’identifier une personne.
Elles incluent même des données pseudonymisées ou chiffrées, dans la mesure où la pseudonymisation ou le chiffrement est réversible. Cela signifie que, pour être en conformité avec les obligations en matière de protection des données prévues par le RGPD, les clés de déchiffrement et les données pseudonymisées doivent être conservées séparément.
Les données personnelles incluent par exemple les données élémentaires relatives à l’identité d’une personne (comme son nom), les données de santé, les données génétiques et biométriques, les données Web telles que les adresses IP et les adresses e-mail personnelles, ou encore les données relatives aux opinions politiques et à l’orientation sexuelle.
Les données personnelles n’incluent pas les numéros d’immatriculation des sociétés, les adresses e-mail génériques des sociétés telles que info@societe.com et les données anonymisées.
Par exemple, sur Internet, une société peut recueillir des informations sur les utilisateurs par le biais de son site Web et les conserver à l’aide d’un service cloud tiers. Dans ce scénario, la société est le responsable du traitement et l’organisation qui met à disposition le service cloud est le sous-traitant.
Le RGPD s’applique lorsque :
Le RGPD s’applique donc à toutes les sociétés ou presque, ce qui signifie qu’il est susceptible de s’appliquer à votre organisation même lorsque celle-ci n’est pas établie dans l’UE. D’après un sondage réalisé par PwC, le RGPD est d’ailleurs l’une des principales priorités en matière de protection des données pour 92 % des sociétés américaines interrogées.
On pense souvent à tort que les mesures de protection prévues par le RGPD couvrent seulement les utilisateurs qui se trouvent dans l’UE, alors que ces mesures couvrent également les utilisateurs qui se trouvent hors de l’UE lorsque le responsable du traitement est établi dans l’UE. Si vous êtes un responsable du traitement établi dans l’UE, vous devez donc appliquer les mesures prévues par le RGPD, par défaut, à TOUS vos utilisateurs.
Le RGPD est entré pleinement en vigueur le 25 mai 2018.
Le champ d’application matériel et territorial du RGPD est énoncé aux articles 2 et 3 du RGPD. Pour déterminer si une activité de traitement particulière échappe à son champ d’application, nous devons prendre en compte deux aspects.
Le RGPD s’applique au traitement des données à caractère personnel. Par conséquent, il ne s’applique pas aux données sur les sociétés, telles que le nom et l’adresse d’une société. Soyez tout de même prudent, car une société emploie habituellement des « personnes physiques ». Les données qui se rapportent à ces personnes sont considérées comme des données à caractère « personnel », qu’elles soient traitées dans le cadre d’une relation entre une entreprise et un consommateur (B2C) ou entre deux entreprises (B2B).
Par ailleurs, les données personnelles sont exclues du champ d’application du RGPD lorsqu’elles sont traitées :
En pratique, la seule exception pertinente est la dernière. Par exemple, si vous recueillez les données personnelles de vos amis pour alimenter votre répertoire téléphonique personnel, vous n’êtes pas tenu de respecter le RGPD.
Nous avons déjà mentionné les conditions d’application du RGPD du point de vue territorial, qui s’ajoutent aux autres conditions exposées ci-dessus.
Pour qu’une activité de traitement ne soit pas concernée par le RGPD, elle doit donc remplir toutes les conditions suivantes :
Examinons quelques exemples pratiques :
En vertu du RGPD, le traitement des données n’est autorisé que lorsqu’il a au moins une base juridique.
Les bases juridiques sont les suivantes :
Les organisations doivent obtenir le consentement vérifiable des utilisateurs.
En ce qui concerne le consentement des enfants, les organisations doivent obtenir le consentement vérifiable d’un parent ou tuteur, excepté lorsque le service proposé est un service de prévention ou de conseil. Les organisations doivent prendre des mesures raisonnables (compte tenu des moyens technologiques disponibles) pour vérifier que la personne qui donne son consentement est bien titulaire de la responsabilité parentale à l’égard de l’enfant.
De façon générale, pour obtenir un consentement à un traitement des données, les organisations ne doivent pas utiliser de termes trop compliqués ou indéchiffrables. Elles doivent donc éviter le jargon (y compris juridique) lorsqu’il n’est pas nécessaire. Cela signifie que les conditions générales et les politiques de confidentialité doivent être énoncées clairement (consultez la nôtre ici), en utilisant un langage et des clauses compréhensibles, pour permettre aux utilisateurs d’être pleinement conscients de ce à quoi ils consentent et des conséquences de leur consentement.
Le RGPD interdit spécifiquement les cases pré-cochées
Les organisations doivent faire preuve de transparence en ce qui concerne les finalités de la collecte de données et le consentement doit être « explicite et donné librement ». Cela signifie que le mécanisme d’obtention du consentement doit être dénué d’ambiguïté et impliquer un acte volontaire et clair. En particulier, le RGPD interdit l’usage de cases pré-cochées et de mécanismes similaires, qui sont activés par défaut et que l’utilisateur doit désactiver s’il ne souhaite pas donner son consentement. Le RGPD accorde également à l’utilisateur le droit de retirer son consentement ; il doit donc être aussi facile pour l’utilisateur de retirer son consentement que de le donner.
Le RGPD accorde une haute importance au consentement, c’est pourquoi il est obligatoire d’en tenir un registre clair et d’être en mesure de prouver que l’utilisateur a donné son consentement. En cas de problème, la charge de la preuve revient au responsable du traitement ; il est donc essentiel de tenir un registre précis.
Le registre devrait inclure, pour chaque utilisateur :
Voici quelques mauvais et bons exemples en matière de tenue du registre des consentements :
Tenue de registre non conforme | Tenue de registre conforme |
---|---|
Tenir une simple feuille de calcul contenant les noms des clients et indiquant s’ils ont ou non donné leur consentement | S’assurer de conserver un exemplaire du formulaire daté et signé par le client qui montre quel acte il a effectué pour donner son consentement à un traitement particulier. |
Conserver simplement la date et l’heure d’obtention du consentement ainsi que l’adresse IP depuis laquelle il a été donné, avec un lien Web vers votre formulaire actuel de capture de données et votre politique de confidentialité. | Conserver des registres exhaustifs qui incluent l’identifiant utilisateur et les données soumises ainsi que l’horodatage. Conserver également un exemplaire de la version du formulaire de capture de données et tout autre document pertinent utilisé à cette date. |
Bien qu’il soit obligatoire de tenir son registre à jour, cela peut représenter un défi sur le plan technique. Notre solution de gestion du consentement Consent Database simplifie ce processus. Grâce à elle, vous pouvez facilement consulter, gérer et exporter les consentements enregistrés. Pour en savoir plus, cliquez ici.
Une dernière précision : le consentement n’est pas la seule base juridique sur laquelle une organisation peut traiter les données utilisateur. Dans certains cas, les sociétés peuvent s’appuyer sur d’autres bases juridiques (prévues par le RGPD) pour effectuer une activité de traitement de données. (Toutefois, il est préférable de consulter un avocat pour vous aider à déterminer si une autre base juridique est susceptible de s’appliquer à votre traitement.) Cela dit, il y a toujours des activités de traitement de données pour lesquelles le consentement est la seule option, la meilleure ou la plus sûre.
Une autre loi de l’UE qui mérite d’être mentionnée ici est la Directive ePrivacy (également appelée la Loi cookies). Cette loi s’applique toujours et n’a pas été abrogée par le RGPD. À l’avenir, la Directive ePrivacy sera remplacée par le Règlement ePrivacy, qui s’appliquera en plus du RGPD ; le futur règlement devrait perpétuer les mêmes valeurs que la directive.
La Loi cookies exige d’obtenir le consentement éclairé d’un utilisateur avant de déposer des cookies sur son appareil et de le suivre à la trace.
La Loi cookies exige d’obtenir le consentement éclairé d’un utilisateur avant de déposer des cookies sur son appareil et de le suivre à la trace. Pour en savoir plus sur la Loi cookies, cliquez ici.
💡 Pour en savoir plus sur les règles de l’UE en matière de consentement aux cookies qui s’appliquent dans chaque pays, consultez notre Aide-mémoire sur le consentement aux cookies.
Les organisations doivent fournir aux utilisateurs des informations sur les activités de traitement de données qu’ils effectuent. Ces informations doivent être fournies au moment de la collecte des données personnelles, généralement par le biais d’une politique ou déclaration de confidentialité. Ces informations doivent être concises, transparentes, compréhensibles, faciles d’accès, écrites dans un langage clair et simple (en particulier si elles s’adressent à un enfant) et mises à disposition gratuitement.
Lorsque les données sont recueillies directement auprès de l’utilisateur auquel elles se rapportent, les informations sur la confidentialité doivent être fournies à l’utilisateur au moment de la collecte des données. Toutefois, si les données personnelles sont recueillies auprès d’une autre source que l’utilisateur auquel elles se rapportent, les informations sur la confidentialité doivent être fournies à l’utilisateur dans un « délai raisonnable » après la collecte des données. En général, cette période ne doit pas dépasser un mois ; si vous utilisez les données pour communiquer avec l’utilisateur, vous devez lui fournir ces informations au plus tard lors de votre première prise de contact.
Les utilisateurs disposent d’un droit d’accès à leurs données personnelles et à des informations sur la façon dont elles sont traitées. Si l’utilisateur le demande, le responsable du traitement doit fournir un aperçu des catégories de données qui sont traitées, un exemplaire des données dont il dispose et des informations détaillées sur le traitement. Ces informations détaillées doivent inclure la finalité du traitement, la façon dont les données ont été obtenues et les tiers avec lesquels elles ont été partagées.
L’organisation doit par ailleurs fournir gratuitement à l’auteur de la demande un exemplaire de ses données personnelles. (Pour tout exemplaire supplémentaire, elle peut lui facturer des frais raisonnables.) Les données demandées doivent être fournies à l’utilisateur dans les meilleurs délais et au plus tard un mois après la réception de la demande ; le nombre de jours exact dont dispose l’organisation pour honorer une demande dépend du mois au cours duquel la demande a été effectuée.
Le droit d’accès est étroitement lié au droit à la portabilité des données, mais ces deux droits sont différents. Il est donc important de distinguer clairement ces deux droits dans votre politique de confidentialité.
Les utilisateurs disposent d’un droit de rectification de leurs données personnelles inexactes ou incomplètes. Ce droit implique également que la rectification doit être signalée à tout destinataire tiers qui participe au traitement des données concernées, excepté lorsque cela est impossible ou présente une difficulté disproportionnée. Si l’utilisateur le demande, l’organisation doit également lui fournir des informations sur ces destinataires tiers.
Le délai de réponse à une demande peut être prolongé de deux mois lorsque la demande est complexe ou lorsque l’utilisateur a effectué de nombreuses demandes. Une réponse expliquant pourquoi cette prolongation est nécessaire doit être apportée à l’utilisateur au plus tard un mois après la réception de sa demande. Les demandes doivent être honorées dans les meilleurs délais et au plus tard un mois après la réception de la demande.
Dans la plupart des cas, les organisations doivent honorer une demande de rectification sans facturer de frais. Toutefois, lorsqu’une demande se révèle « manifestement infondée ou excessive », il est possible de demander des « frais raisonnables » pour accéder à la demande ou de refuser de la traiter. Dans ces deux scénarios, la décision doit avoir une justification légitime. En cas de refus d’une demande, l’utilisateur doit être informé du refus (et de la justification) dans les meilleurs délais et au plus tard un mois après la réception de la demande.
En vertu du RGPD, les utilisateurs disposent d’un droit d’opposition à certaines activités de traitement de leurs données à caractère personnel effectuées par le responsable du traitement. En résumé, l’utilisateur peut s’opposer au traitement de ses données lorsque ce traitement repose sur l’intérêt légitime du responsable du traitement, l’exécution d’une mission d’intérêt public, l’exercice de l’autorité publique, une finalité de recherche scientifique ou historique, ou encore une finalité de statistiques. L’utilisateur doit justifier son opposition, excepté lorsque le traitement est effectué à des fins de marketing direct, auquel cas aucune justification n’est nécessaire à l’exercice de ce droit.
En cas d’opposition par un utilisateur au traitement de ses données à caractère personnel et en l’absence de motif de refus, l’activité de traitement doit cesser. Bien que les activités (y compris le stockage) relatives au traitement auquel s’oppose l’utilisateur doivent cesser, l’effacement n’est pas toujours pertinent lorsque les données sont traitées à d’autres fins (y compris l’exécution d’une obligation légale ou contractuelle) qui nécessitent que les données soient conservées.
Les demandes doivent être honorées dans les meilleurs délais et au plus tard un mois après la réception de la demande. Le délai de réponse à une demande peut être prolongé de deux mois lorsque la demande est complexe ou lorsque l’utilisateur a effectué de nombreuses demandes. Une réponse expliquant pourquoi cette prolongation est nécessaire doit être apportée à l’utilisateur au plus tard un mois après la réception de sa demande.
Dans la plupart des cas, les organisations doivent honorer une demande d’exercice du droit d’opposition (en l’absence de motif de refus) sans facturer de frais. Toutefois, lorsqu’une demande se révèle « manifestement infondée ou excessive », il est possible de demander des « frais raisonnables » pour accéder à la demande ou de refuser de la traiter. Dans ces deux scénarios, la décision doit avoir une justification légitime. En cas de refus d’une demande, l’utilisateur doit être informé du refus (et de la justification) dans les meilleurs délais et au plus tard un mois après la réception de la demande.
Les utilisateurs disposent du droit d’obtenir leurs données personnelles (dans un format lisible par machine) afin de les transmettre d’un responsable du traitement à un autre, sans que le premier y fasse obstacle. Ce droit s’applique à la fois aux données « fournies » et aux données « observées ». Ce droit s’applique seulement aux données personnelles ; par conséquent, il ne s’applique pas aux données réellement anonymes (soit aux données qui ne permettent pas de remonter jusqu’à l’utilisateur).
Les demandes doivent être honorées dans les meilleurs délais et au plus tard un mois après la réception de la demande. Le délai de réponse à une demande peut être prolongé de deux mois lorsque la demande est complexe ou lorsque l’utilisateur a effectué de nombreuses demandes. Une réponse expliquant pourquoi cette prolongation est nécessaire doit être apportée à l’utilisateur au plus tard un mois après la réception de sa demande.
Dans la plupart des cas, les organisations doivent honorer une demande sans facturer de frais. Toutefois, lorsqu’une demande se révèle « manifestement infondée ou excessive », il est possible de demander des « frais raisonnables » pour accéder à la demande ou de refuser de la traiter. Dans ces deux scénarios, la décision doit avoir une justification légitime. En cas de refus d’une demande, l’utilisateur doit être informé du refus (et de la justification) dans les meilleurs délais et au plus tard un mois après la réception de la demande.
Lorsque les données ne sont plus nécessaires à la finalité originelle du traitement pour lequel elles ont été recueillies, lorsque les utilisateurs ont retiré leur consentement au traitement ou lorsque les données personnelles ont fait l’objet d’un traitement illicite, les utilisateurs ont le droit de demander l’effacement de leurs données et la cessation de la diffusion de leurs données. Les demandes doivent être honorées dans les meilleurs délais et au plus tard un mois après la réception de la demande.
Le délai de réponse à une demande peut être prolongé de deux mois lorsque la demande est complexe ou lorsque l’utilisateur a effectué de nombreuses demandes. Une réponse expliquant pourquoi cette prolongation est nécessaire doit être apportée à l’utilisateur au plus tard un mois après la réception de sa demande.
L’exercice du droit à l’effacement peut être refusé lorsque les données personnelles sont :
Un utilisateur a le droit de demander la limitation du traitement de ses données à caractère personnel lorsque :
La limitation doit être signalée à tout destinataire tiers qui participe au traitement des données concernées, excepté lorsque cela est impossible ou présente une difficulté disproportionnée. Si l’utilisateur le demande, l’organisation doit également lui fournir des informations sur ces destinataires tiers.
Les demandes doivent être honorées dans les meilleurs délais et au plus tard un mois après la réception de la demande. Le délai de réponse à une demande peut être prolongé de deux mois lorsque la demande est complexe ou lorsque l’utilisateur a effectué de nombreuses demandes. Une réponse expliquant pourquoi cette prolongation est nécessaire doit être apportée à l’utilisateur au plus tard un mois après la réception de sa demande.
Dans la plupart des cas, les organisations doivent honorer une demande sans facturer de frais. Toutefois, lorsqu’une demande se révèle « manifestement infondée ou excessive », il est possible de demander des « frais raisonnables » pour accéder à la demande ou de refuser de la traiter. Dans ces deux scénarios, la décision doit avoir une justification légitime. En cas de refus d’une demande, l’utilisateur doit être informé du refus (et de la justification) dans les meilleurs délais et au plus tard un mois après la réception de la demande.
Un utilisateur a le droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé ou un profilage, lorsque cette décision produit des effets juridiques le concernant ou d’autres effets significatifs qui l’affectent de façon similaire.
Les organisations ne peuvent avoir recours à une prise de décision individuelle automatisée que lorsqu’elle est nécessaire à l’exécution d’un contrat, lorsque le droit de l’État membre de l’UE applicable au responsable du traitement l’y autorise, lorsque la décision ne produit aucun effet juridique ni aucun autre effet significatif qui affecte l’utilisateur de façon similaire, ou lorsque l’utilisateur y a explicitement consenti. Pour prendre des décisions individuelles automatisées fondées sur des données de catégories particulières, vous devez obtenir le consentement explicite de l’utilisateur, excepté lorsque le traitement est nécessaire pour des motifs d’intérêt public important.
Le RGPD n’autorise les transferts de données des résidents de l’UE hors de l’Espace économique européen (EEE) que lorsqu’ils sont conformes aux conditions prévues. Ces conditions prévoient que la région ou le pays vers lequel les données sont transférées doit assurer un niveau « adéquat » de protection des données personnelles au regard des normes de l’UE. Dans le cas contraire, les transferts peuvent être autorisés à condition d’utiliser des clauses contractuelles types (SCC) ou des règles d’entreprise contraignantes (BCR).
Le RGPD n’autorise les transferts de données des résidents de l’UE hors de l’Espace économique européen (EEE) que lorsqu’ils sont conformes aux conditions prévues
Dans le cas des transferts de données vers les États-Unis, l’obtention du consentement éclairé de l’utilisateur est indispensable. (Ce consentement doit être fondé sur des informations suffisamment précises, y compris sur l’insuffisance de la protection des données dans le pays tiers.)
La protection des données doit être intégrée dès le début de la conception et du développement des processus et des infrastructures de l’entreprise. Cela signifie que les paramètres en matière de protection de la vie privée doivent être « élevés » par défaut et que des mesures doivent être mises en œuvre pour garantir que le cycle de vie du traitement des données soit conforme aux exigences du RGPD.
Le responsable du traitement doit notifier toute violation de données à l’autorité de contrôle 72 heures au plus tard après en avoir pris connaissance. Lorsque le traitement est effectué par un sous-traitant pour le compte du responsable du traitement, le sous-traitant doit notifier la violation de données au responsable du traitement immédiatement après en avoir pris connaissance. En vertu de cette règle, les utilisateurs doivent également être informés de la violation de données (dans le même délai de 72 heures), excepté lorsque les données qui ont fait l’objet de la violation sont protégées par chiffrement (et donc incompréhensibles pour l’auteur de la violation) ou, de façon générale, lorsqu’il est peu probable que la violation engendre un risque pour les droits et libertés des utilisateurs. Dans tous les cas, le responsable du traitement doit tenir un registre des violations qui se sont produites afin d’être en mesure de prouver à l’autorité de contrôle sa conformité avec ces règles.
Le Délégué à la protection des données (DPO) est une personne possédant des connaissances spécialisées de la législation en matière de protection des données dont le rôle consiste notamment à aider le responsable du traitement ou le sous-traitant à vérifier le respect du RGPD au niveau interne et à superviser la stratégie et la mise en œuvre de la protection des données. Le DPO doit aussi disposer de compétences en matière de gestion des processus informatiques, de sécurité des données et d’autres sujets essentiels relatifs au traitement des données à caractère personnel, et notamment des données sensibles.
Le RGPD exige spécifiquement la désignation d’un DPO lorsque :
La désignation du DPO ne dépend donc pas seulement du nombre d’employés, mais aussi de la nature de l’activité de traitement des données. Si votre organisation ne relève pas de ces catégories, la désignation d’un DPO n’est pas obligatoire.
Le RGPD exige du responsable du traitement et du sous-traitant qu’ils tiennent un registre à jour, « complet et approfondi » des activités de traitement des données qu’ils effectuent.
Un registre complet et approfondi des activités de traitement est explicitement exigé lorsque les activités de traitement des données :
Cette obligation s’applique donc à tous les responsables du traitement et sous-traitants ou presque.
Le registre des activités de traitement doit se présenter sous une forme écrite. Bien que les formats papier et électronique soient tous deux acceptables pour la tenue du registre, la meilleure pratique consiste à employer des méthodes électroniques pour simplifier les modifications.
Le registre du responsable du traitement doit inclure :
Le registre du sous-traitant doit inclure :
Même lorsque vos activités de traitement ne relèvent pas des situations décrites ci-dessus, votre devoir d’information envers les utilisateurs (qui résulte des articles 13 et 14 du RGPD) vous oblige à tenir un registre élémentaire qui indique les données que vous recueillez, la finalité de la collecte, l’ensemble des parties impliquées dans le traitement et la période de conservation des données. Cette obligation s’applique à tous.
Vous pourriez trouver utile d’effectuer des audits informationnels réguliers pour déterminer de quelles données dispose votre organisation. En plus de vous aider à satisfaire vos obligations de tenue de registre, cette pratique vous facilite l’examen et l’optimisation de vos procédures de traitement des données.
Notre Registre des activités de traitement des données est également très utile à cet égard, car elle simplifie GRANDEMENT le processus technique associé à la création et la tenue à jour de votre registre des activités de traitement. Pour en savoir plus sur l’aide qu’elle peut vous apporter, cliquez ici ou consultez directement la vidéo et le guide de configuration en cliquant ici.
L’analyse d’impact relative à la protection des données (AIPD) est un processus employé pour aider une organisation à se conformer au RGPD et pour garantir qu’elle mette en pratique le principe de responsabilité et le principe de protection de la vie privée dès la conception et par défaut. Le processus d’AIPD doit être enregistré par écrit. Bien que la publication de l’AIPD ne soit pas une exigence légale générale prévue par le RGPD, il est suggéré au responsable du traitement d’envisager de publier tout ou partie de son AIPD en signe de transparence et de responsabilité, notamment dans les cas où des membres du public sont affectés (par exemple, lorsqu’une autorité publique effectue une AIPD).
Une AIPD efficace est utile pour satisfaire l’exigence de « protection de la vie privée dès la conception », car elle permet aux organisations de repérer et de corriger les problèmes à un stade précoce et, ainsi, de limiter à la fois les risques pour la sécurité des données des utilisateurs et les risques d’amende, de sanction et d’atteinte à la réputation auxquels ces problèmes pourraient exposer l’organisation. L’AIPD n’est obligatoire que dans les cas où l’activité de traitement des données est susceptible d’engendrer un risque élevé pour les utilisateurs (notamment lors de l’introduction d’une nouvelle technologie de traitement).
Toutefois, lorsque vous ne savez pas avec certitude si votre activité de traitement peut être qualifiée d’activité à « risque élevé », il est recommandé d’effectuer tout de même une AIPD, car cet outil peut être utile pour vous assurer de respecter la loi.
Les activités de traitement des données à « risque élevé » incluent :
Les AIPD peuvent également être exigées dans d’autres circonstances (sur la base d’une évaluation au cas par cas), et notamment lorsque le traitement porte sur des données qui concernent des personnes vulnérables (p.ex. des enfants ou des personnes âgées), lorsqu’il implique un transfert de données hors de l’UE ou lorsque les données sont utilisées à des fins de profilage (p.ex. des cotes de solvabilité). Pour en savoir plus sur les critères, cliquez ici [PDF].
L’AIPD devrait inclure :
Les conséquences légales en cas de violation du RGPD peuvent inclure des amendes pouvant s’élever jusqu’à 20 millions d’euros (20 M €) ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). Toutefois, les autres sanctions potentielles pouvant être prises à l’encontre des organisations qui se révèlent en situation de violation sont tout aussi inquiétantes. Ces sanctions incluent le rappel à l’ordre officiel (pour les organisations qui n’en sont qu’à leur première violation), les audits périodiques sur la protection des données ainsi que les dommages et intérêts en réparation.
Les conséquences légales en cas de violation du RGPD peuvent inclure des amendes pouvant s’élever jusqu’à 20 millions d’euros (20 M €) ou 4 % du chiffre d’affaires annuel mondial
Le RGPD accorde explicitement aux utilisateurs le droit d’introduire une réclamation auprès d’une autorité de contrôle lorsqu’ils estiment qu’un traitement de leurs données à caractère personnel a été réalisé en violation du RGPD. Ainsi, lorsqu’un cas de violation du RGPD lui est signalé, l’autorité de contrôle peut choisir de réaliser un audit des opérations de traitement des données de l’organisation concernée. Si cet audit révèle qu’une activité de traitement a été réalisée de façon illicite, l’organisation peut se voir non seulement imposer une amende, mais aussi interdire de poursuivre l’utilisation des données visées par le signalement et des autres données obtenues par les mêmes moyens. Cela signifie que si l’utilisation inappropriée portait sur la collecte d’adresses e-mail, l’organisation risque de se voir interdire d’utiliser l’intégralité de la liste d’adresses e-mail concernée.
Le RGPD accorde également aux utilisateurs le droit à la réparation de tout préjudice résultant d’une violation du RGPD par une organisation, ce qui leur permet d’introduire une action en justice à l’encontre de l’auteur d’une violation.
Pour vous mettre en conformité, l’une des premières étapes consiste logiquement à vous assurer que vos documents soient conformes. Chez iubenda, nous adoptons une approche complète de la conformité avec le droit des données. Nous concevons nos solutions en tenant compte des règlements les plus stricts et mettons à votre disposition de nombreuses options de personnalisation de vos documents. De cette façon, nous vous aidons à respecter vos obligations légales, à protéger vos clients – en instaurant un climat de confiance et en renforçant votre crédibilité – et, ainsi, à réduire le risque de litige.
Voici ce dont vous avez besoin pour débuter votre mise en conformité complète :
Ce document juridique doit indiquer de quelle façon votre site Web ou application recueille, traite, conserve, partage et protège les données utilisateur, quelles sont les finalités de ces traitements, et de quels droits disposent les utilisateurs à cet égard.
Grâce à notre Générateur de Politique de Confidentialité et de Cookies, vous pouvez créer une politique de confidentialité précise et visuellement agréable, conçue avec soin par un avocat, qui s’intègre de façon harmonieuse à votre site Web ou application. Il vous suffit de cliquer sur un bouton pour ajouter l’une des nombreuses clauses pré-existantes ou d’utiliser le formulaire intégré pour rédiger vos propres clauses personnalisées.
La politique de confidentialité présente également une option qui vous permet d’inclure une politique relative aux cookies. (Celle-ci est nécessaire lorsque votre site Web ou application utilise des cookies.) Ces politiques peuvent être personnalisées selon vos besoins et sont mises à jour à distance par une équipe juridique internationale.
Pour plus d’informations sur les politiques de confidentialité, cliquez ici.
L’utilisation des cookies implique à la fois de traiter des données utilisateur et d’installer des fichiers sur l’appareil des utilisateurs. Il s’agit donc d’un sujet de préoccupation majeur en matière de droits des utilisateurs à la protection de leurs données. C’est pourquoi il est essentiel que votre site Web ou application soit conforme à la directive ePrivacy de l’UE (la Loi cookies). Pour répondre à ce besoin, nous avons créé notre solution complète de gestion des cookies Privacy Controls and Cookie Solution qui simplifie la mise en conformité avec les dispositions de la Loi cookies de l’UE. Il s’agit d’une solution de politique relative aux cookies et de gestion du consentement aux cookies (avec un bandeau cookies) facile à utiliser, rapide et qui ne demande pas d’investissement important.
Pour plus d’informations sur Privacy Controls and Cookie Solution, cliquez ici.
De nombreuses autorités de protection des données à travers l’UE ont renforcé leurs exigences et aligné leurs règles en matière de cookies et traqueurs sur les exigences du RGPD. Plus précisément, vous devez enregistrer les préférences de vos utilisateurs et en conserver la preuve.
Le Registre des Préférences Cookies et Consentements est désormais disponible dans la Privacy Controls and Cookie Solution. Cliquez ici pour plus d’informations sur la façon de l’activer dans Privacy Controls and Cookie Solution.
En pratique, la satisfaction des exigences du RGPD peut représenter un défi technique. Cela est d’autant plus vrai en matière de gestion de la protection de la vie privée au niveau interne. Pour être conforme, vous devez être en mesure de suivre et de décrire :
Notre solution vous simplifie l’enregistrement et la gestion de toutes les activités de traitement de données effectuées au sein de votre organisation pour vous permettre de vous conformer facilement aux exigences du RGPD et de satisfaire vos obligations légales. Elle vous permet également de créer un registre des activités de traitement : ajoutez des activités de traitement en choisissant parmi plus de 1700 options prédéfinies, divisez-les par domaines (des subdivisions au sein desquelles les activités de traitement des données sont identiques), affectez-leur des sous-traitants et d’autres rôles. Vous pouvez également l’utiliser pour documenter les bases juridiques et pour tenir tout autre registre exigé par le RGPD.
Note : même lorsque vos activités de traitement ne relèvent pas des situations déjà décrites dans ce guide, votre devoir d’information envers les utilisateurs (qui résulte des articles 13 et 14 du RGPD) vous oblige à tenir un registre élémentaire qui indique les données que vous recueillez, la finalité de la collecte, l’ensemble des parties impliquées dans le traitement et la période de conservation des données. Cette obligation s’applique à tous.
De plus, bien que le RGPD soit une raison courante de faire plus d’efforts en matière de gestion de la protection de la vie privée au niveau interne, notre outil n’est pas conçu exclusivement pour la mise en conformité avec le RGPD. Il peut également être utilisé à des fins générales de gestion de la protection de la vie privée au niveau interne, y compris par des sociétés qui n’ont pas d’utilisateurs ou de clients au sein de l’UE.
Pour obtenir une liste complète des fonctionnalités de notre Registre des activités de traitement des données, cliquez ici ou lisez le guide disponible ici.
Pour être en conformité avec les lois sur la protection de la vie privée, notamment le RGPD, les sociétés doivent conserver des preuves permettant de démontrer qu’elles ont obtenu le consentement des utilisateurs. Le registre des consentements doit indiquer :
La Consent Database simplifie ce processus en vous aidant à conserver facilement la preuve du consentement et à gérer le consentement et les préférences en matière de vie privée de chacun de vos utilisateurs. Notre solution vous permet de suivre tous les aspects du consentement (y compris la déclaration de confidentialité ou toute autre information juridique et le formulaire de consentement qui ont été présentés à l’utilisateur au moment du recueil de consentement) ainsi que les préférences connexes exprimées par l’utilisateur.
Pour l’utiliser, il vous suffit d’activer la Consent Database et d’en récupérer la clé API, puis de l’installer via les en-têtes HTTP ou le widget JS. C’est tout ! Vous pourrez alors à tout moment récupérer les données sur le consentement et les mettre à jour.
Pour obtenir une liste complète des fonctionnalités de notre outil Consent Database, cliquez ici ou lisez le guide disponible ici.
Veuillez noter que les lois sont susceptibles d’être modifiées ou mises à jour. Il est donc important de vous assurer que vos politiques répondent aux exigences les plus récentes. C’est pourquoi nous utilisons une méthode d’intégration, et NON de copier-coller. Avec cette méthode, vous avez l’assurance que votre politique reste à jour grâce au travail effectué à distance par notre équipe juridique.