ACTU DU NET : Conformité RGPD – Ce que vous devez savoir

Avez-vous entendu parler du terme « RGPD » qui fait l’objet de discussions sur le Web. C’est toujours un sujet assez brûlant, surtout avec tout ce qui se passe au sujet des atteintes à la protection des données et de la sécurité dans les nouvelles. En termes simples, RGPD est une loi sur la protection de la vie privée conçue pour permettre aux citoyens de reprendre le contrôle de leurs données personnelles. Le RGPD a un impact direct sur la façon dont l’ensemble de l’Internet traite les données.

0

Qu’est-ce que le RGPD ?

RGPD est l’abréviation de General Data Protection Regulation (Règlement général sur la protection des données). Il s’agit d’une loi sur la protection de la vie privée qui a été approuvée le 14 avril 2016 par la Commission européenne pour protéger les droits de tous les citoyens européens (28 États membres) et leurs données personnelles. Elle remplace la directive 95/46/CE sur la protection des données du 24 octobre 1995 et est beaucoup plus étendue que la loi sur les cookies de 2011 (qui a été remplacée par le nouveau règlement de l’UE sur la protection de la vie privée dans le secteur des communications électroniques, qui va de pair avec le RGPD). Le plan de mise en œuvre du règlement a été établi pour deux ans, la date limite était le 25 mai 2018.

Quelques termes clés à maîtriser :

  • Un responsable du traitement détermine les finalités et les moyens du traitement des données à caractère personnel.
  • Un sous-traitant est responsable du traitement de données à caractère personnel pour le compte d’un responsable du traitement.
  • Les données personnelles sont toutes les informations permettant d’identifier une personne, même indirectement en combinant ces informations avec d’autres informations.

Quelles sont les données à protéger ?

  • S’applique à toutes les données personnelles (PII – toutes les données qui se rapportent à une personne ou qui peuvent être utilisées pour l’identifier).

Par données à caractère personnel, on entend toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; une personne physique identifiable est une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro de sécurité sociale, des données de localisation, un identifiant en ligne (adresse IP ou adresse électronique) ou à un ou plusieurs éléments spécifiques de l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique. Elle contrôle également ce qui peut être fait avec les renseignements personnels (art. 4).

  • S’applique à toutes les données personnelles sensibles telles que la race, l’origine ethnique, l’orientation sexuelle et l’état de santé. (Préambule 51, article 9)
  • Confidentialité par conception et par défaut : S’assure que les renseignements personnels sont correctement protégés. Les nouveaux systèmes doivent être protégés et l’accès aux données est strictement contrôlé et n’est accordé que lorsque cela est nécessaire (art. 25).
  • En cas de perte, de vol ou d’accès non autorisé aux données, les autorités doivent en être informées dans les 72 heures (art. 33) avec les personnes dont les données ont été consultées (art. 34).
  • Les données ne peuvent être utilisées que pour la raison indiquée au moment de la collecte et sont effacées en toute sécurité après qu’elles ne sont plus nécessaires.
  • Permet aux autorités nationales d’infliger des amendes aux entreprises qui enfreignent la réglementation.
  • Le consentement parental sera nécessaire pour le traitement des données personnelles des enfants de moins de 16 ans pour les services en ligne ; il peut varier selon les États membres, mais il ne sera pas inférieur à 13 ans (art. 8).

Quels sont les principes du RGPD ?

Sept principes de base s’appliquent au contrôleur dans le cadre de RGPD :

  1. Les données sont traitées de manière légale, équitable et transparente. Exige que le consentement soit donné.
  2. Les données personnelles doivent être collectées dans un but spécifique, explicite et légitime et utilisées uniquement à cette fin.
  3. Les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire.
  4. Les données personnelles doivent être exactes et mises à jour.
  5. Les données à caractère personnel ne devraient être conservées sous une forme identifiable que pendant la période la plus courte possible.
  6. Les données à caractère personnel devraient être traitées de manière à en assurer la sécurité.
  7. Le responsable du traitement est responsable de pouvoir démontrer le respect de ces principes.

Les droits individuels dans le cadre du RGPD

Les personnes protégées par le RGPD (citoyens de l’UE) ont sept droits au titre du RGPD que le transformateur doit être prêt à faire respecter :

  1. Le droit d’être informé : Donne à une personne le droit de savoir quelles informations sont stockées à son sujet.
  2. Un droit d’accès et de portabilité : Une personne peut demander ses informations dans un format facilement téléchargeable à tout moment, ainsi que l’utilisation ou le transfert des données à un autre service.
  3. Un droit de rectification.
  4. Un droit à l’oubli : Permet à une personne de demander que ses renseignements personnels à son sujet soient complètement effacés (à moins qu’il y ait une raison valable, comme un prêt bancaire). ( 17).
  5. Le droit de restreindre la transformation.
  6. Un droit d’opposition.
  7. Le droit à un traitement équitable lorsqu’il fait l’objet d’une prise de décision et d’un profilage automatisés.

Qui est concerné par le RGPD ?

Voici quelques exemples de sites web situés en dehors de l’UE qui sont touchés :

  • Un site communautaire WordPress qui recueille des renseignements personnels pour chaque profil d’utilisateur.
  • Une boutique de thèmes WordPress qui permet aux clients de s’inscrire pour acheter des thèmes ou des plugins (données de vente et de facturation).
  • Un blog WordPress qui dispose d’un widget d’abonnement à la newsletter ou qui permet aux visiteurs de commenter.
  • Une boutique eCommerce (WooCommerce ou Easy Digital Downloads) qui vend des produits en ligne.
  • Un site WordPress qui utilise un logiciel de statistiques.

Vous pouvez probablement voir où nous voulons en venir. À moins que vous ne bloquiez explicitement tout le trafic de l’UE, ce qui n’est probablement pas le cas de la plupart d’entre vous, votre site tombe alors sous la réglementation du RGPD.

Si vous vous demandez si votre entreprise est déjà conforme au RGPD, l’équipe de Mailjet a créé un quiz pratique sur le RGPD. Nous vous recommandons également de consulter la liste de contrôle du RGPD.

Le point sur la conformité au RGPD pour les utilisateurs de WordPress

Conséquences du non-respect du RGPD

Selon la source data.verifiedjoseph du 20 mars 2019, 1 129 sites web ne sont toujours pas disponibles dans l’Union européenne après la mise en œuvre du RGPD. Plusieurs d’entre eux incluent de grandes entreprises de presse. Pourquoi ? Parce qu’ils n’ont pas été en mesure de se conformer aux mises en œuvre techniques du RGPD et ne veulent donc pas faire face à des amendes. Ils ont donc tout simplement bloqué le trafic en provenance de l’UE.

Si votre entreprise ne se conforme pas à la réglementation RGPD, vous pouvez être sanctionné à hauteur de 4% du chiffre d’affaires annuel mondial ou à hauteur de 20 millions d’euros (le plus élevé des deux), par infraction. Il existe également une approche graduelle en matière d’amendes. Par exemple, une entreprise peut se voir infliger une amende de 2 % pour ne pas avoir mis ses dossiers en ordre, ne pas avoir informé l’autorité de contrôle et la personne concernée d’une infraction ou ne pas avoir réalisé une évaluation d’impact. (Art. 83)

En janvier 2019, l’organisme français de protection de la vie privée a infligé à Google une amende de 57 millions de dollars en vertu du GDPR. En février 2019, plus de 59 000 atteintes à la protection des données ont été signalées et 91 amendes ont été envoyées.

La rédaction informe ses lecteurs que le journal Le Petit Niçois a mis en place depuis le 1er août 2020 un traitement rigoureux des données à caractère personnel et s’est conformé à la réglementation en vigueur applicable au traitement de données à caractère personnel résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 dit RGPD complété par la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles.

LAISSER UN COMMENTAIRE

Merci de poster votre commentaire
Merci d'entrer votre nom içi

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.