Afin de renforcer la protection et la surveillance des données des internautes, le Règlement général sur la protection des données (ou RGPD) de l’Union européenne entrera en vigueur le 25 mai 2018. Il s'agit d'un règlement prônant l'autoresponsabilité des entreprises et qui concerne tous les pays membres de l'Union européenne, ainsi que les entreprises qui font affaire avec des pays de l'UE.
Par ce règlement, la Commission européenne espère « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ».
Comme la lecture du règlement complet s'adresse à un public bien averti, nous vous avons préparé un résumé ainsi que 6 recommandations pour vous conformer à ce nouveau règlement.
Le RGPD précise que « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant ».
Pour que le consentement soit considéré comme un acte positif clair, il doit être donné par une action volontaire comme la signature d'un document ou l'action de cocher une case dans un formulaire. Une case qui serait précochée est donc non valide.
Ensuite, pour que le consentement soit éclairé, il est primordial d'informer l'utilisateur avec le plus de précision possible de l'usage qui sera fait de ses informations. Il faut aussi le faire en utilisant un langage que l'utilisateur comprendra.
Dans le cas où les données que vous collectez auront divers usages, il est nécessaire de dissocier ces différents traitements et d'obtenir un consentement distinct pour chaque utilisation.
Enfin, vous devez également conserver une preuve de l'énoncé auquel l'utilisateur a adhéré au moment de donner son consentement.
Voici un exemple de consentement clair :
« En soumettant ce formulaire, vous acceptez que les données personnelles transmises soient collectées et utilisées par [nom de votre organisation] dans le but de personnaliser votre expérience de navigation et de vous envoyer des offres marketing personnalisées, conformément à la politique de confidentialité. Votre consentement pourra être révoqué en tout temps. »
Le RGPD repose sur le principe de la transparence des entreprises vis-à-vis des utilisateurs. L'utilisation des données personnelles de vos clients et prospects demeure permise, mais il devient obligatoire d'informer les personnes concernées de l'usage qui sera fait de leurs informations.
De plus, la collecte des informations personnelles doit maintenant être justifiée. Il n'est plus permis de collecter des informations supplémentaires, qui ne sont pas liées à votre offre de service. Les entreprises ne doivent collecter que les informations qui leur sont vitales et doivent pouvoir justifier ses actions.
Par exemple, il n'est pas justifié de demander un numéro de téléphone ou une adresse postale à un utilisateur qui s'inscrirait pour recevoir des offres promotionnelles par courriel.
Avec l'adoption du RGPD, les données personnelles n'appartiennent plus aux compagnies qui les collectent, mais demeurent la propriété des individus concernés. Ainsi, selon ce règlement européen, tout utilisateur doit pouvoir exercer les droits suivants :
Enfin, le RGPD vise à responsabiliser les entreprises qui collectent et utilisent des données. Ces dernières doivent donc prendre les mesures nécessaires pour assurer la sécurité des informations personnelles des utilisateurs. Elles peuvent notamment utiliser des moyens physiques, comme des gardes de sécurité pour protéger les serveurs, ou des moyens technologiques comme en cryptant les données pour en assurer la protection.
Cette notion est d'autant plus importante lorsque les entreprises utilisent les services d'un tiers pour collecter les données (logiciel, SAAS, etc.) ou lorsque les données sont échangées entre différentes instances pour être traitées.
De plus, les entreprises se doivent d'avertir les autorités européennes dans un délai de 72 heures après réalisation d'une perte ou d'un vol de données dites sensibles, soit des données personnelles telles que le NAS ou des données reliées à la santé.
À partir de mai 2018, toute entreprise doit pouvoir prouver que les données à caractère personnel qu'elle détient (qu'il s'agisse de numéros de téléphone, de courriels, d'IBAN, de données biométriques ou autres) sont protégées et surtout, qu'elles sont inexploitables en cas de vol.
Les entreprises doivent en outre prouver qu'elles ne collectent que les données qui leur sont absolument nécessaires et prouver qu'elles ont obtenu le consentement des utilisateurs.
Le RGPD requiert le libre consentement de l'utilisateur pour la collecte de ses données. Et pour que l'utilisateur consente à la collection de ces données, il doit savoir exactement quelles informations seront enregistrées, et pour quelles fins. Le RGPD espère ainsi que les paramètres de confidentialité et de sécurité des entreprises se feront plus clairs et simples à comprendre.
La fonction de Délégué à la protection des données (Data Privacy Officer), soit la personne en charge de s'assurer que l'entreprise se plie aux exigences du RGPD, devient obligatoire pour les autorités ou les organismes publics, les organismes, dont les activités de base, les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, et les organismes, dont les activités de base, les amènent à traiter à grande échelle des données dites sensibles ou relatives à des condamnations.
En cas de perte, de vol, de corruption ou de modification des données personnelles, les entreprises ont 72 heures pour notifier les autorités de protection européennes. Si ce vol atteint un individu en particulier, celui-ci recevra une notification dans un temps imparti de 3 jours.
Les entreprises qui ne respecteront pas cette réglementation pourront se voir attribuer une amande de 20 millions d'euros ou d'une somme équivalant à 4% du chiffre d'affaires mondial.
Malgré l'utilisation du terme européen dans son titre, ce règlement s'applique bien au-delà de l'Europe. En effet, toutes les entreprises qui hébergent ou enregistrent des données de résidents européens devront se conformer au RGPD. Cela concerne notamment les entreprises de e-commerce ou les entreprises qui collectent des informations sur leurs utilisateurs.
Pour se conformer au Règlement Général sur la Protection des Données, les entreprises canadiennes doivent donc vérifier comment le RGPD définit les données personnelles, où elles se trouvent dans leur entreprise, comment elles sont utilisées, et surtout, qui y a accès.
Le RGPD peut sembler lourd et complexe, alors nous avons rédigé pour vous 6 recommandations à mettre en place pour vous y conformer :
Le registre des traitements est obligatoire pour les entreprises de 250 employés et plus, mais nous vous recommandons fortement d'en tenir un même si vous avez une plus petite entreprise ou si vous collectez peu de données. Si tel est le cas, l'exercice sera d'autant plus facile.
Le registre des données est un document qui doit contenir les informations suivantes :
Les données dites sensibles, ou données à caractère personnel constituent toutes les données qui permettent d'identifier directement ou indirectement les individus. Il peut s'agir, par exemple d'un nom complet, de coordonnées ou même d'une adresse IP.
Il est d'autant plus important d'assurer une protection adéquate des données sensibles lorsque celles-ci peuvent être croisées avec des informations relatives à la santé, aux finances ou aux condamnations des utilisateurs.
Dans le registre des traitements, assurez-vous de bien identifier les données à caractère personnel.
Afin de bien vous conformer au RGPD et garantir les droits de vos utilisateurs, vous pourriez devoir modifier les éléments suivants en lien avec votre site web :
Les principaux prestataires de services web ont déjà, au courant des derniers mois, apporté des modifications à leurs produits et services afin de faciliter l'application du RGPD pour vous.
Vous avez probablement reçu des avis de mise à jour de politiques de confidentialité de nombreux services : Google, Mailchimp, Magento, Hubspot, ne sont que quelques exemples de plateformes qui expliquent clairement comment se conformer à la nouvelle réglementation tout en continuant d'utiliser leurs services.
Lorsque vous ferez l'inventaire de tous les services que vous utilisez dans la collecte de données, profitez-en pour revoir les contrats vous liant à ces entreprises et posez des questions à vos représentants au besoin.
Les entreprises publiques ou les entreprises traitant des données sensibles ou à grande échelle sont tenues de nommer ou d'engager les services d'une entreprise, comme une firme d'avocats, à titre de délégué à la protection des données.
Notre recommandation est toutefois de nommer une personne responsable dans votre entreprise, peu importe l'ampleur des données collectées.
Ne tardez pas pour nommer un responsable au sein de votre équipe. Il peut s'agir de tâche à faire à temps partiel. De plus, cette personne n'a pas besoin de certifications particulières. Toutefois, certaines connaissances et une formation sont recommandées.
La personne choisie devra mettre en place les mesures nécessaires pour que votre entreprise se conforme au RGPD, mais aussi assurer que la documentation de votre entreprise est mise à jour lorsqu'il y a des changements dans la collecte ou le traitement des données.
Dans le cas où vous seriez victime d'une attaque ou d'une faille de sécurité qui pourraient entraîner une violation de données à caractère personnel, vous devez avoir un plan d'urgence.
Dans le RGPD, on explique qu'une « violation de données à caractère personnel » constitue « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données; ».
En cas de violation, la loi oblige les entreprises à informer les autorités de contrôle dans les 72 heures et à informer les utilisateurs concernés si la violation est « susceptible d'engendrer un risque élevé pour les droits et libertés de la personne physique afin qu'elle puisse prendre les précautions qui s'imposent. »
En somme, que votre entreprise fasse des affaires avec des citoyens européens ou non, nous vous recommandons de ne pas tarder à vous conformer au RGPD. Si vous avez des doutes concernant l'application du règlement dans votre situation, consultez un avocat spécialisé dans votre domaine.
Clause de non-responsabilité : cet article de blogue n'est ni un grand opus sur la confidentialité des données dans l'Union Européenne, ni des conseils juridiques à utiliser par votre entreprise pour se conformer aux lois du RGPD. Vous ne pouvez pas vous fier à ce document comme conseil juridique, ni comme recommandation d'une compréhension juridique particulière. Cet article fournit plutôt des conseils pour vous aider à vous conformer au GDPR et en comprendre les principaux aspects. Pour des conseils juridiques, adresses-vous à un avocat.