Se préparer au règlement général sur la protection des données (RGDP)

Le 25 mai,
le règlement de l’Union européenne sur la protection des données (RGPD ou GDPR
en anglais) est entré en vigueur. Il régit la façon dont les entreprises et les
individus peuvent collecter, utiliser et divulguer des données personnelles provenant
des résidents de l'UE, que ces entreprises soient basées en Europe ou pas.

Le RGDP
constitue un grand progrès dans la protection de la vie
privée et des données personnelles, et crée également une nouvelle base afin
d’obtenir un consentement préalable lors de la collecte des données. Les
dispositions du RGDP obligent les entreprises à inclure des protections de la
vie privée dans tout ce qu'elles entreprennent, au préalable et non pas après coup.

Attention : Cet article est fourni uniquement à titre
d'information et ne peut être considéré comme un avis juridique. Vous
devriez discuter avec un avocat avant de vous appuyer sur les informations suivantes.

Qui sera concerné par le nouveau règlement ?

Le RGDP s'applique à toute entreprise qui collecte, conserve et/ou traite les données personnelles des résidents de
l'Espace économique européen ("EEE" ou "UE").

En fait,
toute personne qui héberge un site Internet ou même accueille un visiteur européen
est concernée par ce règlement. Ainsi, toutes les entreprises ayant un rôle de contrôleur
ou processeur de données personnelles d'un résident de l'UE est soumise au
nouveau règlement.

Quelles sont "les données
personnelles" ?

Le RGDP a
une définition large pour cette notion qui englobe généralement toutes les
informations sur une personne spécifique, y compris :

·        
Nom & prénom

·        
Courriel

·        
Date de naissance

·        
Adresse physique

·        
Photo de profil

·        
Nom d'utilisateur sur les médias
sociaux

Ou toute
autre information qui peut conduire à identifier une personne.

Le contrôleur de données, c’est qui ?

Le contrôleur
de données est une personne ou une entreprise qui collecte des données
personnelles et décide :

·        
Quelles informations sont
collectées ?

·        
Comment sont-elles collectées ?

·        
Comment ces informations sont
utilisées sur toute la ligne ?

Le
contrôleur de données a le plus de responsabilités dans le cadre du RGDP. Il
doit garantir que le consentement, si nécessaire, est obtenu avant de stocker
ou d'utiliser des données personnelles.

Qu'est-ce qu'un processeur de données ?

Un
processeur de données est une personne ou une entreprise qui traite les données
personnelles au nom d'un contrôleur de données.

Qu’est-ce que nous mettons en place pour respecter le RGDP ?

Nous avons
beaucoup travailler pour nous préparer au RGDP et aider
nos clients à remplir leurs nouvelles obligations dans le cadre du GDPR.

Certaines
des choses sur lesquelles nous travaillons comprennent :

- Demande de certification avec le
Cadre de la protection de vie privée de l’UE-É.U. et de Suisse-É.U.

- Auditionner tous nos fournisseurs
qui stockent ou traitent des données personnelles pour s’assurer qu'ils sont en
bonne voie de préparer le RGDP

- Mettre à jour les accords de
traitement des données avec les fournisseurs pour inclure les dispositions
requises par le RGDP

- Créer et documenter un processus
interne et une structure de gouvernance pour traiter les demandes à partir des
personnes concernées, y compris les demandes d'accès aux données et de
suppression

- Créer un programme de formation sur
la sécurité et la confidentialité interne afin de garantir la sécurisation et
la protection des données personnelles. Ce qui permettra de préparer le terrain
pour d'autres certifications de sécurité importantes à l'avenir, telles que la
norme ISO 27001

- Rédiger une politique assez claire
sur les cookies pour exploiter et améliorer les services.

- Permettre aux clients de préciser
un Délégué à la protection des données (DPD) ou un Représentant des membres de
l'UE pour chaque projet, nous pouvons donc contacter la bonne personne si l'un
de nos sites hébergés reçoit une demande de données que nous traitons mais ne
contrôlons pas.

- Mettre à jour nos conditions
d'utilisation et notre politique de confidentialité afin de préciser la façon
dont nous collectons, utilisons et divulguons les données personnelles comme
requis par le RGDP.

En résumé, soyez
assurés que les pratiques internes, les accords juridiques avec les
fournisseurs et les mesures de sécurité soient mises à jour dans la préparation du RGDP.

Que devriez-vous faire en préparation au RGDP ?

Si vous
hébergez des sites Internet qui recueillent des données personnelles auprès de
résidents de l'UE, par exemple via des formulaires de soumission ou des scripts
tiers, vous avez des responsabilités en tant que contrôleur de données.
Voici une liste non-exhaustive des étapes que vous pouvez suivre :

et prendre les mesures nécessaires pour respecter le RGDP.
Cette liste de contrôle pour l'auto-évaluation de la protection des données
peut être utile.

, il faut demander clairement et obtenir un consentement, sinon une
autre base légale de traitement ne s'applique pas.

, il faut que vos
clients comprennent leurs responsabilités en tant que contrôleur de données
personnelles.

et que vous envoyez des données
personnelles, il est indispensable de revoir vos responsabilités en tant que
contrôleur de données

, il est nécessaire d’envisager de créer une politique de cookies
conforme au RGDP pour votre site. Les cookies peuvent être considérés comme des
données personnelles s'ils peuvent identifier une personne. Des outils comme
Cookiebot peuvent vous aider dans cette démarche.

L'impact de RGDP sur les sites mis en place

Lors de l'évaluation des exigences du RGDP, nous avons conclu que les sites mis en ligne soumettant des formulaires étaient trop difficiles à conserver puisque nous avons des responsabilités supplémentaires en tant que processeurs de données. Par exemple, le code de
soumission du formulaire exporté peut être manipulé pour indiquer que le
consentement a été donné, tout en masquant visuellement une case à cocher qui
recquiert le consentement du visiteur du site. Nous avons donc décidé d'éliminer la possibilité de capturer les soumissions de formulaires
venant des sites mis en place.

Cela signifie que, à compter du 25 mai 2018, les sites
mis en place verront le code source de soumission du formulaire supprimé et le
code exporté devra être connecté manuellement à un autre mécanisme ou un
service pour capturer les soumissions de formulaires.

Si cette
modification impacte l'un de vos sites, vous pouvez envisager d'envoyer des
formulaires via MailChimp ou d'autres outils tels que Formstack ou Wufoo.

Pour les
sites qui ont été mis en place avant le 25 mai, nous continuerons d'enregistrer
les soumissions de formulaires jusqu'au 31 juillet 2018, afin de permettre aux
propriétaires de sites de faire la transition. Après cette date, les soumissions
de formulaires pour ces sites ne seront plus stockées sur les serveurs.

Blogs & Activities
Qu’est-ce que l’agence marketing digital ?
En savoir plus
Les algorithmes Google que vous devriez savoir dans le marketing digital
En savoir plus
Référencement naturel et référencement payant : Quel est le meilleur choix pour votre entreprise ?
En savoir plus