Un guide simple pour la conformité au RGPD
Qu'est-ce que le RGPD ?
Le règlement général sur la protection des données (RGPD) est une législation sur la protection des données introduite et approuvée par la Commission européenne et le Parlement européen, qui est entrée en vigueur en mai 2018.
Le RGPD (règlement général sur la protection des données) fournit des règles et des conseils aux entreprises européennes et non européennes qui collectent, partagent et gèrent les données de leurs utilisateurs européens. Il donne aux résidents de l’UE le droit de savoir quelles données sont collectées les concernant et comment elles sont stockées, protégées et transférées. Le RGPD inclut également le droit à l’oubli et le droit d’accès. Cela signifie que les clients peuvent demander à voir les données collectées et demander leur suppression.
Dois-je me conformer au RGPD ?
Toutes les entreprises qui collectent des données d’utilisateurs dans l’Union européenne, quel que soit leur lieu d’implantation, doivent se conformer au RGPD. Le non-respect de ces règles peut entraîner de lourdes amendes au titre du RGPD, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
La protection des données personnelles de vos utilisateurs par la mise en conformité avec les normes RGPD va concerner l’ensemble de l’entreprise, car la plupart de vos procédures risquent de devoir être révisées et adaptées. Cependant, il n’existe pas de règles claires qui s’appliqueraient à toutes les organisations. La manière de protéger les données dépend du type de données traitées par votre entreprise.
Certains consultants RGPD affirment qu’il n’est pas possible d’être conforme à 100 % au RGPD et que le respect des exigences du RGPD consiste davantage à analyser vos activités de manipulation et de traitement des données d’un point de vue éthique qu’à cocher les cases d’une liste de contrôle. Un bon point de départ consiste à passer en revue les sept principes du RGPD.
Les exigences du RGPD
Le RGPD a eu un impact significatif sur les pratiques en matière de confidentialité et de sécurité des données dans le monde entier, y compris sur celles des entreprises basées aux États-Unis. Pour mieux comprendre les exigences de conformité au RGPD, il est essentiel de comprendre les principes et les dispositions de base du règlement.
Tout d’abord, les exigences du RGPD pour les entreprises américaines sont applicables si l’entreprise traite les données personnelles des résidents de l’UE, quel que soit l’emplacement physique de l’entreprise. Concrètement, toute organisation basée aux États-Unis qui traite des données de personnes résidant dans l’UE doit adhérer aux réglementations du RGPD.
L’une des principales exigences du RGPD en matière de sécurité consiste à garantir la protection des données à caractère personnel contre l’accès non autorisé, la perte, l’altération ou la destruction. Pour satisfaire à cette obligation, les entreprises doivent mettre en œuvre des mesures techniques et organisationnelles appropriées, telles que le chiffrement, les contrôles d’accès et les évaluations régulières de la sécurité.
En outre, les exigences du RGPD pour les entreprises américaines comprennent la nomination d’un délégué à la protection des données (DPD) si l’organisation s’engage dans le traitement à grande échelle de données sensibles ou dans la surveillance systématique des individus. Le DPD est chargé de contrôler la conformité au RGPD, de fournir des conseils sur les questions de protection des données et de servir de point de contact avec les autorités chargées de la protection des données.
En outre, les entreprises américaines doivent être transparentes en ce qui concerne la collecte, le traitement et le stockage des données à caractère personnel. Cela implique de fournir des avis de confidentialité clairs, d’obtenir un consentement valide de la part des personnes concernées et de permettre aux individus d’exercer leurs droits en vertu du RGPD, tels que le droit d’accès, de rectification ou d’effacement de leurs données.
Les sept principes du RGPD
Les sept principes du RGPD sont les suivants :
Légalité, équité et transparence. Les données doivent être traitées de manière légale, équitable et transparente.
Limitation des finalités et minimisation des données. Les données ne doivent être collectées qu’à des fins professionnelles spécifiques et légitimes.
Minimisation des données. Les données à caractère personnel collectées doivent être limitées à ce qui est nécessaire aux fins pour lesquelles elles ont été collectées.
Exactitude. Tous les efforts, lorsque cela est nécessaire, doivent être faits pour maintenir les données à jour. Si les données sont inexactes ou obsolètes, elles doivent être supprimées.
Limitation du stockage. Les données ne doivent être stockées que pour la durée nécessaire à la fourniture des produits ou du service. Elles ne peuvent être conservées plus longtemps qu’à des fins d’archivage dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques.
Intégrité et confidentialité. L’entreprise doit faire tout ce qui est en son pouvoir pour garantir la sécurité des données personnelles. Elle doit les protéger contre tout accès illicite, comme les violations de données, ainsi que contre la perte, la destruction ou l’endommagement accidentels.
Responsabilité. La plupart des entreprises sont tenues de conserver des registres sur le traitement des données et de les présenter aux autorités de contrôle en cas de besoin.
Comment être conforme au RGPD
Veuillez noter que les informations suivantes ne sont données qu’à titre indicatif. Elles sont destinées à des fins d’information générale uniquement et ne constituent pas un avis juridique. La réglementation du RGPD comprend 11 chapitres, 99 articles et près de 200 attendus. Pour vous conformer pleinement au RGPD, nous vous conseillons de demander l’avis de votre conseiller juridique ou de l’autorité de contrôle.
Passez en revue toutes vos procédures de traitement des données
Asseyez-vous et établissez une carte de la façon dont votre entreprise recueille les données du début à la fin de votre parcours client. Elle devrait vous aider à identifier les points qui nécessitent d'être examinés de plus près. Par exemple :
Il se peut que vous deviez revoir vos listes de diffusion de courrier et d’e-mails. Si vous n’avez pas de motifs légitimes pour traiter les données de vos clients à des fins de marketing ou autres, vous ne pouvez pas utiliser ces données à caractère personnel. Voyez s’il est utile de créer des listes segmentées pour vos clients européens.
Vous devez vérifier si vous avez des motifs légitimes (par exemple, le consentement, l’intérêt légitime) pour traiter des données à caractère personnel pour tous les différents canaux de collecte de données, y compris les événements, les abonnements aux newsletters ou même les listes de diffusion payantes.
Passez en revue vos futures campagnes de marketing dans l'UE qui pourraient avoir pour objectif de collecter des données utilisateur, vous devrez peut-être adapter les processus.
À ce stade, il est également conseillé de nommer une personne (voire toute l'équipe) de votre service marketing pour consulter des avocats spécialisés dans le RGPD. Cette personne ou équipe devra travailler en étroite collaboration avec un délégué à la protection des données (DPD), si un DPD a été désigné dans l'entreprise. Le délégué sera en mesure d'examiner et d'approuver vos campagnes marketing.
Rendez votre site Web conforme au RGPD.
Si vous possédez un site Web, vous recueillez sans aucun doute des données d'une manière ou d'une autre. Pour rendre votre site Web conforme au RGPD, vous devez prendre en compte les points suivants :
Intégrez un consentement pour les cookies. Tous les formulaires Web doivent comporter un consentement pour les cookies informant les visiteurs du type de données que vous collectez et leur donnant la possibilité d’accepter ce suivi.
Créez une vérification de l’âge. Si vos visiteurs ont moins de 16 ans (la limite d’âge peut être différente dans certains pays de l’UE), le RGPD exige un consentement parental pour collecter des données. Veillez à inclure cette vérification.
Mettez à jour vos formulaires de collecte de données. Ceux-ci doivent indiquer dans un langage facile à comprendre quelles données sont collectées et dans quel but (une liste complète des informations qui doivent être présentées à l’utilisateur figure aux articles 13 et 14 du RGPD). Si votre entreprise opère en dehors de l’UE, vous devriez également envisager d’ajouter le champ « Pays de résidence », afin de pouvoir séparer vos bases de données si nécessaire.
Mettez à jour votre base de données actuelle
Il est conseillé de mettre à jour régulièrement votre base de données. Vous pouvez le faire en envoyant à vos clients un e-mail leur permettant de choisir le type d’informations qu’ils souhaitent recevoir. Vous vous assurerez ainsi que vos clients ne demandent pas à se désabonner totalement de vos communications. Toute correspondance doit également inclure un bouton Désabonnement ou un bouton de mise à jour des préférences.
Veillez aussi à ne pas contacter les utilisateurs qui s'étaient déjà désabonnés. C'est interdit par la Directive sur la vie privée et les communications électroniques.
Soyez préparé au pire
L’un des principaux objectifs du RGPD est de rendre les entreprises plus transparentes sur leurs activités de traitement des données, vous devez donc également mettre à jour votre politique de confidentialité avec tous les changements que vous avez mis en œuvre. Rédigez-la de manière claire et concise. Vos utilisateurs doivent pouvoir trouver facilement des informations, notamment sur les données que vous collectez, dans quel but, avec qui vous les partagez et pourquoi, comment elles sont stockées, comment ils peuvent accéder à ces données et comment demander leur suppression (vous trouverez la liste complète des éléments que votre politique de confidentialité doit contenir dans les articles 13 et 14 du RGPD).
Continuez à mettre à jour votre politique de confidentialité au fur et à mesure que vous mettez à jour vos pratiques de traitement des données. Il est également conseillé de procéder à des vérifications régulières vis-à-vis des aspects de la vie privée et de la sécurité. Ne gardez rien sous la table. Informez vos clients de toute modification apportée à vos techniques de traitement des données et de tout problème susceptible d'affecter leur vie privée, pour le meilleur ou pour le pire.
Mettez à jour votre politique de confidentialité
En cas de détection d’une fuite de données, le RGPD exige qu’elle soit signalée dans les 72 heures (avec quelques exceptions). Il est donc judicieux de préparer un plan de lutte contre les fuites de données et d’informer vos employés sur les mesures à prendre dans de telles circonstances. Vous devez étudier les points suivants :
La façon dont vos employés qui sont en contact avec la clientèle doivent répondre aux clients.
La façon dont vous gérez les canaux de réseaux sociaux et si vous disposez d’un personnel suffisant pour répondre à tous les messages.
Les canaux que vous utiliserez pour informer les parties concernées, comme vos clients et vos fournisseurs, si nécessaire.
Les moyens utilisés pour informer les médias et quels canaux sont utilisés pour fournir des mises à jour.
La manière dont vous communiquerez sur la fuite de données en interne.
Les procédures que vous avez mises en place si vos clients souhaitent déposer une réclamation ou obtenir un remboursement.
Comment vous ferez en sorte que cela ne se reproduise pas.
Qu’est-ce que le droit à l’oubli ?
Le droit à l’oubli est une innovation juridique révolutionnaire qui permet aux individus de demander la suppression d’informations spécifiques les concernant sur Internet. Ce concept incontournable a vu le jour dans l’Union européenne et est inscrit dans le RGPD en tant que droit fondamental des citoyens de l’UE.
Fondamentalement, le droit à l’oubli incarne la notion selon laquelle les personnes doivent avoir le contrôle de leurs données personnelles et la possibilité de faire disparaître leur passé.
Si le droit à l’oubli n’est pas absolu, il existe des cas précis dans lesquels il s’applique. Si les informations ne sont plus pertinentes, si elles sont inexactes ou si elles ont été traitées de manière illicite, les personnes peuvent demander leur suppression.
Le RGPD comparé à la CCPA
Si la CCPA et le RGPD ont pour objectif commun d’améliorer les droits des consommateurs en matière de protection de la vie privée, ces lois présentent néanmoins quelques différences majeures.
Tout d’abord, les deux réglementations diffèrent par leur portée législative. Le RGPD est généralement considéré comme un règlement ayant une portée plus large puisqu’il s’applique à toutes les organisations qui collectent et stockent des données individuelles au sein de l’Union européenne (UE) et de l’Espace économique européen (EEE). En revanche, la CCPA (California Consumer Privacy Act) ne s’applique qu’aux organisations à but lucratif qui répondent à certains critères de revenus et de volume de données et qui collectent des données sur les résidents californiens.
Deuxièmement, la CCPA et le RGPD diffèrent dans leur manière d’aborder le consentement de l’utilisateur. La CCPA ne prévoit pas de consentement explicite pour la collecte de données, sauf si l’utilisateur est mineur. Le RGPD, quant à lui, exige un contenu clair en matière de collecte des données.
Autre différence notable entre les deux réglementations, le type de lois qu’elles constituent : Le RGPD est de nature réglementaire, tandis que le CCPA est de nature statutaire. Il en ressort simplement que toute violation de la CCPA peut être utilisée pour intenter une action civile dans l’État de Californie, tandis que le RGPD n’a pas d’impact direct sur les litiges civils, mais peut être incorporé dans les législations nationales.
Enfin, l’application et les amendes en cas de non-conformité varient considérablement. Le RGPD est appliqué par l’UE et peut imposer des sanctions allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Le département de la Justice de Californie est l’institution chargée de l’application de la CCPA ; le non-respect de la loi peut coûter jusqu’à 2 500 dollars par infraction et 7 500 dollars par infraction intentionnelle.
NordPass est-il conforme au RGPD ?
Chez NordPass, la protection des données et de la vie privée est prise au sérieux. En tant que solution sécurisée et fiable pour la gestion des données sensibles, NordPass met tout en œuvre pour être en parfaite conformité avec le RGPD.
L’architecture à divulgation nulle garantit que toutes les données sensibles sont chiffrées localement sur votre appareil avant d’atteindre nos serveurs. Cela signifie que nous n’avons pas accès à vos mots de passe ou à toute autre donnée que votre entreprise pourrait stocker dans NordPass, ce qui garantit une confidentialité maximale.
Nous accordons de l’importance à la transparence et fournissons une politique de confidentialité détaillée qui décrit nos pratiques de traitement des données, y compris les types de données collectées, les objectifs de la collecte et les mesures de sécurité mises en place.
En outre, nos solides mesures de sécurité comprennent l’authentification multifactorielle (MFA) et l’authentification biométrique, ce qui ajoute une protection supplémentaire.
Dans le cas rare d’une violation de données, nous nous engageons à informer rapidement les utilisateurs concernés et les autorités compétentes, comme l’exige la réglementation du RGPD.
N’oubliez pas que le RGPD n’est pas un projet ponctuel et que vous ne devez pas le traiter comme tel. Il s’agit de travailler en permanence à l’amélioration des normes de confidentialité et de sécurité de votre entreprise.
Choisissez NordPass pour une expérience de gestion des mots de passe fiable et transparente qui vous aidera à respecter les politiques de conformité et à réduire le risque de fuite de données.