Tout le monde ne peut pas être un spécialiste de la conformité RGPD, mais cela ne signifie pas que vous devriez ignorer la protection des données personnelles, surtout si vous dirigez une entreprise.

Même si l’on a beaucoup entendu parler de l’échéance du 25 mai 2018 pour la mise en application du règlement RGPD, le fait d’être prêt n’est pas un projet ponctuel.

Table des matières

Lorsqu’une entreprise a besoin de données personnelles pour faire fonctionner son service, l’utilisateur doit savoir pourquoi et comment elles sont utilisées afin qu’il puisse consentir à une bonne utilisation de celles-là.

Le principal objectif du règlement RGPD est de responsabiliser davantage les organisations et de fournir plus de droits aux individus afin de maîtriser ce qu’elles possèdent sur eux.

Sachez qu’il est inutile de chercher un modèle pour appliquer le RGPD au sein de votre entreprise, chaque organisation à une manière spécifique pour le traitement de leurs données, l’utilisation des cookies, etc.

Afin d’être conforme, essayez d’élaborer une stratégie efficace de protection des données personnelles et de la vie privée en fonction de vos pratiques. Ce guide n’est qu’un point de départ, avec une approche générale.

Idéalement, vous devrez creuser dans chaque secteur de votre entreprise et examiner la manière dont vous recueillez, traitez, diffusez, stockez et supprimez les données.

Ce guide est purement indicatif et ne constitue pas un avis juridique ou une analyse juridique. Les organisations peuvent avoir besoin d’obtenir des conseils juridiques pour des questions juridiques particulières.

1. Connaître les concepts clés du règlement RGPD

Comprendre les termes est un grand pas. En voici quelques-uns que nous utiliserons dans le guide et qui vous aideront à mieux comprendre le nouveau règlement européen.

  • Personne concernée : personne physique dont les données à caractère personnel sont traitées par un responsable du traitement ou un sous-traitant.
  • Responsable du traitement des données : l’entité qui détermine les finalités, les conditions et les moyens du traitement des données à caractère personnel.
  • Données personnelles : toute information relative à une personne physique ou à la personne concernée qui peut être utilisée pour identifier directement ou indirectement la personne.

Ensuite, prenez le temps de lire les articles ci-dessous afin de simplifier votre transition vers le règlement RGPD.

  • Art. 5 : Principes relatifs au traitement des données à caractère personnel.
  • Art. 6 : Bases légales de traitement des données personnelles.
  • Art. 12 – 22 : Droits de la personne concernée (accès, portabilité des données, droit d’être oublié, etc.
  • Art. 25 & 32 : Les entreprises devraient mettre en œuvre les mesures de protection nécessaires pour protéger les données personnelles de la personne concernée.

Nos recommandations – ce que vous devez faire :

  • Prenez le temps de lire la loi.
  • Lisez notre article pour l’impact du RGPD sur le marketing.
  • Utilisez les données de vos clients avec attention.
  • Analysez vos outils, vos fournisseurs de cookies et assurez-vous qu’ils soient tous en conformité avec le nouveau règlement RGPD.
  • Formez vos collaborateurs sur les risques et les opportunités qu’offre le RGPD.
Audit RGPD

2. Comment assurer la conformité au RGPD dès maintenant ?

Il y a trois principaux domaines dans lesquels vous devez effectuer des modifications.

2.1. Effectuer une cartographie des données personnelles

Une étape importante vers la conformité au RGPD est de comprendre comment les données se déplacent dans votre organisation.

Documentez la manière dont l’information circule dans votre entreprise, et effectuer un inventaire vous aidera à démontrer que vous vous conformez.

Un bon point de départ devrait être cette carte de données.

Une cartographie de vos flux de données vous aidera également à décerner les points qui pourraient bloquer votre conformité au RGPD.

N’oubliez pas que les traitements ne peuvent être effectués que si le responsable du traitement peut se fier au moins à une base légale. La base légale dépendra des données à caractère personnel traitées et de la finalité des traitements.

2.2. Créer une page politique de confidentialité

Vérifiez et mettez à jour votre politique de confidentialité. C’est la première méthode que vos visiteurs ont pour vérifier votre conformité au règlement RGPD.

Communiquez à vos clients, fournisseurs, prospects, contacts, la base juridique de vos traitements des données, la durée de conservation, et la manière dont vous les utilisez au quotidien.

C’est une obligation que vous devez respecter, expliquez-le clairement et simplement, tous doivent être capable de comprendre ce que vous en faites.

2.3. Former vos équipes au RGPD

Le RGPD implique des changements au sein de votre organisation – tous vos collaborateurs doivent comprendre l’importance de la protection des données personnelles.

Il en revient à vous uniquement de prendre toutes les dispositions nécessaires pour informer sur les concepts du RGPD et documenter les nouvelles procédures afin d’assurer la conformité.

Partagez cet article avec les personnes qui ont besoin d’être informées.

Nos recommandations – ce que vous devez faire :

  • Cartographier et documenter les flux de données que vous utilisez.
  • Être transparent avec les utilisateurs qui souhaitent connaître l’utilisation des données.
  • Informez vos collaborateurs conformément aux dispositions de l’article 13 du RGPD.
  • Configurez votre méthode de consentement pour la récolte des données personnelles sur votre site internet.

3. Les étapes suivantes pour être conforme au RGPD

Afin d’assurer un bon niveau de contrôle sur vos traitements de données, planifiez des audits régulièrement pour contrôler la sécurité au sein de votre organisation.
reglement-rgpd

3.1. Vérifier ce que font les autres organisations

Comme le règlement RGPD n’a aucune règle très précise sur ce qu’il faut mettre en place, le marché doit trouver des techniques pour assurer la sécurité de ses données.

De nombreuses entreprises ont sorti de nouvelles fonctionnalités dans les semaines suivant la mise en application du RGPD. Sachez que vous êtes en droit de vous inspirer des autres organisations, consultez ce que font vos concurrents pour connaître les meilleures pratiques dans votre secteur.

3.2. Signaler les atteintes à la protection des données

Vous devez vous assurer que vous avez mis en place les bonnes procédures pour détecter, signaler et enquêter non seulement sur les atteintes à la protection des données internes, mais aussi sur les atteintes à la protection des données externes.

Vous devez faire preuve d’intelligence lorsque vous évoquez une faille dans la protection de vos données: gravité de la violation, nombre de personnes concernées, types de données personnelles volées, etc.

Généralement lorsque vous constatez une atteinte à la protection des données, vous avez jusqu’à 72 heures pour prévenir les autorités compétentes.

3.3. Poursuivre le travail sur les procédures et processus opérationnels.

Comme évoqué précédemment, la protection de la vie privée n’est pas un projet ponctuel.

Il s’agit d’un travail en continu pour s’assurer que les données que vous recueillez sont sûres et utilisées en toute sécurité.

Vous devez toujours être au point dans vos procédures et vous assurer qu’elles prennent en compte les droits des individus. Vous devez aussi considérer la manière dont vous allez supprimer les données personnelles, et la manière dont vous comptez envoyer les données aux contacts qui vous le demandent.

Nos recommandations – ce que vous devez faire :

  • Être prêt à signaler toutes éventuelles atteintes à la protection des données.
  • Mettre en place des procédures internes pour respecter les données de vos utilisateurs.
  • Revoir les contrats avec vos fournisseurs et vos clients afin d’être certain qu’ils soient conformes au règlement RGPD.
  • Documenter la manière dont vos employés peuvent effectuer des transferts de données en dehors de l’UE.

4. Ajustements sur votre site web

C’est un sujet qui n’est pas à prendre à la légère pour les développeurs et marketeurs. Le simple fait d’ajuster les formulaires et obtenir le consentement pour les cookies représente une bonne partie de votre conformité au RGPD.

Mais ce n’est que notre humble avis, nous ne sommes pas en lien direct avec la CNIL ou les autorités compétentes en Europe.

4.1. Formulaires Opt-In

C’est la méthode la plus classique pour les entreprises de recueillir des données personnelles, vous devez donc ajuster tous les formulaires que vous utilisez.

Aucune règle n’est très précise par rapport à la manière dont vous devez procéder, mais sachez que vous devez être transparent quant à l’utilisation des données et l’intérêt de leur récolte.

4.2. Consentement des visiteurs

Pour faire simple, informez vos utilisateurs dans un langage courant et simple de l’utilité de vos cookies avant d’installer quoi que ce soit d’autre que les cookies strictement nécessaires.

Vous avez différentes manières de le faire, le règlement RGPD n’impose pas de méthode pour être conforme avec le consentement des cookies.

Comme vous pouvez l’imaginer, il existe des cookies fonctionnels qui sont utilisés pour permettre une session par exemple, mais pour suivre un utilisateur, c’est un cookie additionnel qui nécessite un consentement.

Ce que vous devez savoir ici, c’est qu’un autre règlement européen (ePrivacy) est en train de légiférer les cookies.

5. Autres questions de conformité au RGPD à prendre en considération

Voici quelques autres aspects du RGPD qui requièrent aussi votre attention.

5.1. Transfert et divulgation des données

Assurez-vous que vos sous-traitants vous demanderont votre accord chaque fois qu’ils ont l’intention de transférer des données en dehors de l’Union européenne.

Les mêmes règles s’appliquent lorsque les sous-traitants ont l’intention de sous-traiter une partie des services qu’ils fournissent.

5.2. Délégués à la protection des données (DPO)

Le règlement RGPD exigera que certaines organisations désignent un délégué à la protection des données (DPO).

Les organisations qui ont besoin d’un DPO comprennent les autorités publiques, les organisations dont les activités impliquent un contrôle régulier et systématique à grande échelle, ou les organisations qui traitent ce que l’on nomme les données personnelles sensibles.

5.3. Traitement des données relatives aux enfants

Si votre organisation traite des données provenant de personnes mineures, vous devez vous assurer que vous avez mis en place des systèmes adéquats pour vérifier l’âge des individus et obtenir le consentement des tuteurs.

Le règlement GDPR a des dispositions spécifiques pour les enfants de moins de 16 ans (veuillez lire l’art. 8 du RGPD).

6. Suivi et audit

Les entreprises doivent comprendre que la transparence dans l’utilisation et la protection des données est maintenant exigée par la loi.

Chaque organisation (y compris les entités du secteur public) doit définir un champ d’application pour lequel il recueille des données précises.

Vous ne devriez recueillir que les renseignements personnels nécessaires pour fournir le service ou le produit de votre entreprise. De plus, les données ne devraient pas être partagées à d’autres fins commerciales ou marketing.

Vous devez aussi mettre en place tous les moyens nécessaires pour conserver les données à l’abri de tout piratage, et être capable de les supprimer après une certaine période.

Le RGPD laisse beaucoup de place à l’amélioration en matière de protection des individus.

C’est pourquoi le futur règlement sur la protection de la vie privée dans le secteur des communications apportera encore plus de transparence.

N’arrêtez pas vos recherches maintenant, consultez les ressources officielles et renseignez-vous sur la protection des données.

Finalement, il existe plusieurs niveaux de conformité qui dépend principalement de la taille de votre organisation, des données que vous collectez et de l’utilisation que vous en avez.

En prenant en compte tous les points cités dans cet article, vous avez quelques premières pistes pour être certain de respecter les règles du RGPD.