Le RGPD (Règlement Général pour la Protection des Données) est entré en vigueur le 25 mai 2018. De nombreuses options permettent dorénavant aux internautes de mieux gérer leurs données personnelles.
Ces règles sont strictes et il nous est demandé de s’y soumettre le plus vite possible sous peine de poursuites, ne négligez pas ce point !
Transparence sur la destination des données
Ces règles, applicables dans toute l’Union européenne, imposent davantage de transparence quant à l’usage des données personnelles. Une nouvelle obligation, appelée « consentement », exige de préciser aux utilisateurs plusieurs points :
- Pourquoi et à quelle fin les données sont collectées ?
- Qui va en être le destinataire et qui y aura accès ?
- Combien de temps vont-elles être conservées ?
- Quels sont les droits des usagers ?
Changement de plateforme plus aisé
L’une des possibilités prévues dans le RGPD est celle de changer de service plus facilement. Les utilisateurs peuvent désormais transférer leurs données grâce à leur « portabilité ». On peut maintenant récupérer toutes les données fournies à un site avant leur transfert. Il est par exemple possible de porter nos photos Instagram ou notre historique d’achats sur Amazon, vers d’autres plates-formes.
Des sanctions lourdes en cas de non-respect du RGPD
L’Union européenne a prévu des sanctions afin que ces règles soient respectées : pour une entreprise, jusqu’à 4% de son chiffre d’affaires mondial et pour une administration jusqu’à 20 millions d’euros. Par ailleurs, chaque citoyen peut saisir, en cas de litige, la CNIL (Commission Nationale de l’Informatique et des Libertés) par courrier ou sur Internet. Des actions de groupes peuvent également être engagées, via des associations comme la Quadrature du net, l’UFC-Que choisir ou bien avec l’aide d’un avocat RGPD.
6 étapes simples de mise en conformité
Afin d’aider les administrateurs à mettre en conformité leurs sites Web, la CNIL a élaboré un guide présentant 6 étapes à remplir :
- Désignation d’un pilote.
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données.
- Priorisation des actions à mener.
Recensez de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.
- Organisation des processus internes.
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir.
- Identification des différents traitements.
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
- Gestion des risques.
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact relative à la protection des données (AIPD).
- Documenter la conformité.
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
A vous de jouer !
Le règlement européen RGPD a été complété par la loi française publiée en juin 2018 concernant la protection des données personnelles mettant ainsi à jour la loi informatique et libertés de 1978.