nordpass logo

Un guide simple sur la manière de se conformer au RGPD

Qu'est-ce que le RGPD ?

Le règlement général sur la protection des données (RGPD) est une législation sur la protection des données introduite et approuvée par la Commission européenne et le Parlement européen, qui est entrée en vigueur en mai 2018.

Le RGPD fournit des règles et des conseils aux entreprises européennes et non européennes qui collectent, partagent et gèrent les données de leurs utilisateurs européens. Il donne aux résidents de l'UE le droit de savoir quelles données sont collectées à leur sujet ainsi que la manière dont elles sont stockées, protégées et transférées. Le RGPD inclut également le droit à l'oubli et le droit d'accès. Cela signifie que les clients peuvent demander à voir les données collectées et à les supprimer.

Dois-je me conformer au RGPD ?

Toutes les entreprises qui collectent des données sur les utilisateurs dans l'Union européenne, où qu'elles soient basées, doivent se conformer au RGPD. La non-conformité pourrait entraîner de lourdes amendes au titre du RGPD, qui peuvent s'élever jusqu'à un montant de 20 millions d'euros ou 4 % de votre chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

La protection des informations personnelles de vos utilisateurs en suivant le RGPD affectera l'ensemble de l'entreprise, car la plupart de vos procédures peuvent devoir être révisées et adaptées. Cependant, il n'y a pas de règles claires qui s'appliqueraient à chaque entreprise. La façon de protéger les données dépendra du type de données traitées par votre entreprise.

Certains consultants du RGPD disent qu'il est impossible d'être conforme à 100 % au RGPD et que le respect des exigences du RGPD consiste davantage à examiner vos activités relatives à la manipulation et au traitement des données d'un point de vue éthique, plutôt que de cocher des cases sur une liste de contrôle. Un bon point de départ est de tenir compte de 7 principes du RGPD.

7 principes du RGPD

  • Légalité, équité et transparence. Les données doivent être traitées de manière légale, équitable et transparente ;

  • Limitation de la finalité et minimisation des données. Les données ne doivent être collectées qu'à des fins commerciales spécifiques et légitimes.

  • Exactitude. Tous les efforts doivent être mis en œuvre là où c'est nécessaire pour maintenir les données à jour. Toute donnée inexacte ou obsolète doit être supprimée.

  • Limite de conservation. Les données ne doivent être stockées que pendant le temps nécessaire à la fourniture de produits ou de services. Elles peuvent être conservées plus longtemps uniquement à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques.

  • Intégrité et confidentialité. L'entreprise doit faire tout ce qui est en son pouvoir pour assurer la sécurité des données personnelles. Elle est tenue de les protéger contre les accès illicites, tels que les violations de données, ainsi que contre la perte, la destruction ou les dommages accidentels.

  • Responsabilité. La plupart des entreprises sont tenues de tenir des registres du traitement des données et sont tenues de les présenter aux autorités de contrôle qui en ont besoin.

Comment être conforme au RGPD

Veuillez noter que les informations suivantes ne doivent être considérées qu'à titre indicatif. Elles sont destinées uniquement à des fins d'information générale et ne constituent pas un avis juridique. La législation RGPD se compose de 11 chapitres, 99 articles et près de deux cents considérants, de sorte que pour se conformer pleinement au RGPD, nous suggérons d'obtenir des conseils juridiques de votre conseiller juridique ou de l'autorité de surveillance.

  1. Passez en revue toutes vos procédures de traitement des données

    Asseyez-vous et établissez une carte de la façon dont votre entreprise recueille les données du début à la fin de votre parcours client. Elle devrait vous aider à identifier les points qui nécessitent d'être examinés de plus près. Par exemple :

    • Il se peut que vous ayez besoin de revoir vos listes de diffusion et d'e-mails. Si vous n'avez pas de motifs légitimes de traiter les données de vos clients à des fins de marketing ou à d'autres fins, vous ne pouvez pas utiliser ces données personnelles. Voyez s'il est utile de créer des listes segmentées pour vos clients européens ;

    • Vous devez vérifier si vous avez des motifs légitimes (par exemple, consentement, intérêt légitime) pour le traitement des données personnelles pour tous les différents canaux de collecte de données, y compris les événements, les abonnements aux newsletters, ou même les listes payantes ;

    • Passez en revue vos futures campagnes de marketing dans l'UE qui pourraient avoir pour objectif de collecter des données utilisateur, vous devrez peut-être adapter les processus.

    À ce stade, il est également conseillé de nommer une personne (voire toute l'équipe) de votre service marketing pour consulter des avocats spécialisés dans le RGPD. Cette personne ou équipe devra travailler en étroite collaboration avec un délégué à la protection des données (DPD), si un DPD a été désigné dans l'entreprise. Le délégué sera en mesure d'examiner et d'approuver vos campagnes marketing.

  2. Adaptez votre site Web au RGPD

    Si vous possédez un site Web, vous recueillez sans aucun doute des données d'une manière ou d'une autre. Pour rendre votre site Web conforme au RGPD, vous devez prendre en compte les points suivants :

    • Inclure un consentement aux cookies. Tous les formulaires Web doivent intégrer un consentement aux cookies informant les visiteurs du type de données que vous collectez et leur donnant la possibilité de choisir s'ils acceptent ou non un tel suivi.

    • Créer une méthode de vérification de l'âge. Si vos visiteurs ont moins de 16 ans (la limite d'âge peut être différente dans certains pays de l'UE), le RGPD exige le consentement de leurs parents pour collecter des données. N'oubliez pas d'inclure cet élément de vérification.

    • Mettez à jour vos formulaires de collecte de données. Celle-ci doit indiquer dans un langage facile à comprendre quelles données sont collectées et à quelles fins. (Vous trouverez une liste complète des informations devant être présentées à l'utilisateur dans les articles 13 et 14 du RGPD.) Si votre entreprise opère en dehors de l'UE, vous devriez également envisager d'ajouter le champ « Pays de résidence », afin de pouvoir séparer vos bases de données, le cas échéant.

  3. Mettez à jour votre base de données actuelle

    Il est conseillé de mettre à jour régulièrement votre base de données. Vous pouvez le faire en envoyant à vos clients un e-mail intégrant la possibilité de choisir le type d'informations qu'ils souhaitent recevoir. Cela permet ainsi de faire en sorte que vos clients ne se désabonnent pas complètement. Toute correspondance doit également inclure un bouton « Se désabonner » ou « Mettre à jour vos préférences ».

    Veillez aussi à ne pas contacter les utilisateurs qui s'étaient déjà désabonnés. C'est interdit par la Directive sur la vie privée et les communications électroniques.

  4. Soyez préparé au pire

    L'un des principaux objectifs du RGPD est de rendre les entreprises plus transparentes dans leurs activités relatives au traitement des données. C'est pourquoi vous devez également mettre à jour votre politique de confidentialité en incluant toutes les modifications que vous avez mises en œuvre. Rédigez-la clairement et de façon concise. Vos utilisateurs doivent pouvoir trouver facilement les informations les concernant, notamment les données que vous collectez, à quelles fins, avec qui vous les partagez et pourquoi, comment elles sont stockées, comment ils peuvent accéder à ces données et comment demander leur suppression. (Vous trouverez la liste complète de ce que votre politique de confidentialité doit inclure dans les articles 13 et 14 du RGPD.)

    Continuez à mettre à jour votre politique de confidentialité au fur et à mesure que vous mettez à jour vos pratiques de traitement des données. Il est également conseillé de procéder à des vérifications régulières vis-à-vis des aspects de la vie privée et de la sécurité. Ne gardez rien sous la table. Informez vos clients de toute modification apportée à vos techniques de traitement des données et de tout problème susceptible d'affecter leur vie privée, pour le meilleur ou pour le pire.

  5. Mettez à jour votre politique de confidentialité

    Le cas échéant, le RGPD exige de signaler toute violation dans les 72 heures (avec quelques exceptions). Il est donc conseillé de préparer un plan de protection contre la violation de données et d'informer vos employés sur la marche à suivre dans de telles circonstances. Vous devriez prendre en considération :

    • Comment vos employés en contact avec les clients devront leur répondre ;

    • Comment vous allez gérer les canaux des réseaux sociaux et si vous aurez suffisamment de personnel pour répondre à tous les messages ;

    • Les canaux que vous utiliserez pour informer les parties concernées, telles que vos clients et vos fournisseurs, si nécessaire ;

    • La façon dont vous informerez les médias et les canaux que vous utiliserez pour fournir des mises à jour ;

    • La façon dont vous communiquerez en interne sur la violation survenue ;

    • Les procédures que vous avez mises en place pour recevoir les plaintes et les demandes de remboursements de vos clients ;

    • Comment vous ferez en sorte que cela ne se reproduise pas.

    Le RGPD n'est pas un projet ponctuel et vous ne devez pas le traiter comme tel. Cela requiert de votre part que vous travailliez en permanence à l'amélioration des normes de votre entreprise relatives à la vie privée et à la sécurité.