Le RGPD est certes un règlement de l’UE, mais il a des répercussions dans les pays du monde entier. Comprendre et s’adapter à cette loi peut préserver votre entreprise de toute sanction.

Qu’est-ce que le RGPD en termes simples ? Le Règlement Général sur la Protection des Données (RGPD) est une loi adoptée dans l’UE pour protéger la vie privée et les données des citoyens. Ce règlement touche toutes les organisations qui font des affaires dans l’UE, indépendamment de l’emplacement d’une organisation.

Qu'est-ce que le RGPD ? | Protection des données et confidentialité

Que fait le RGPD ?

Le RGPD codifie essentiellement les droits des consommateurs et des entreprises, la portée des opérations que les organisations ont dans la gestion et l’utilisation des informations des consommateurs, et comment les consommateurs peuvent exercer la propriété de leurs informations personnelles. La loi réalise cela à travers plusieurs domaines de compétence différents, connus sous le nom de “Droits des Sujets de Données.”

A Complete Checklist of GDPR Compliance

Read Now

Conformément à la réglementation, un “sujet de données” est toute personne dont les informations peuvent être utilisées dans le marketing, le traitement commercial ou d’autres opérations d’entreprise. Les sujets de données sont, selon le RGPD, les propriétaires complets et définitifs de leurs informations, et en tant que tels, ont des pouvoirs beaucoup plus étendus sur leurs informations que dans d’autres juridictions comme les États-Unis.

Certains de ces droits comprennent les éléments suivants :

  • Droit à l’effacement : Un sujet peut demander la suppression de toutes les informations détenues par une organisation à tout moment et pour n’importe quelle raison. Cette action doit avoir lieu dans les 30 jours.
  • Droit d’accès aux données personnelles : À tout moment, pour n’importe quelle raison, le consommateur peut demander et recevoir l’accès à toutes les informations qu’une organisation a collectées à son sujet. Ces informations doivent être remises dans les 45 jours.
  • Droit à la rectification : À tout moment, pour n’importe quelle raison, le consommateur peut demander à une organisation de changer ou de corriger des erreurs dans ses informations.
  • Droit de restreindre le traitement des données : Les sujets de données peuvent demander l’arrêt de certains types de traitement de leurs informations numériques.
  • Droit d’opposition : Ce droit permet au sujet de s’opposer au refus des organisations de restreindre le traitement.
  • Droit à la portabilité des données : Le sujet peut demander que ses données personnelles soient envoyées à un tiers.
  • Droit à la notification : Les sujets de données doivent recevoir une notification sur les utilisations de leurs informations personnelles et comment ils peuvent prendre des mesures pour résoudre les problèmes liés à ces informations et à leur utilisation. Cela inclut la notification des suppressions ou des modifications effectuées en dehors de leurs demandes personnelles.
  • Droit de refuser la prise de décision individuelle automatisée : Les sujets de données peuvent refuser le traitement automatisé des informations personnelles à des fins de marketing automatique ou de prise de décision si ces décisions ont un impact négatif sur le sujet.

De plus, le RGPD exige le consentement et l’opt-in du sujet. Contrairement à d’autres pays, une entreprise de l’UE ne peut pas envoyer arbitrairement des documents non sollicités, demander des informations sur les consommateurs ou utiliser des informations sur les consommateurs. Au contraire, le consentement doit venir en premier, c’est-à-dire que les consommateurs doivent choisir de participer à toute opération de marketing ou de communication.

De plus, ce type de consentement doit inclure la raison précise de la demande ainsi qu’une description de l’utilisation qui sera faite des informations. Il doit être “donné librement, spécifique, informé et non équivoque”.

Qu’est-ce qui est considéré comme des données personnelles selon le RGPD ?

Les données personnelles selon le RGPD de l’UE sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable. Cela inclut des éléments tels que le nom, l’adresse, les numéros d’identification, les photographies, les données de localisation, et les identifiants en ligne tels que les adresses IP et les cookies. Même les données biométriques et génétiques sont considérées comme des données personnelles. D’autres données personnelles comprennent, mais ne se limitent pas à :

  • Données de santé et génétiques
  • Données biométriques
  • Données raciales ou ethniques
  • Opinions politiques
  • Orientation sexuelle
  • Croyances religieuses
  • Adhésion à un syndicat

Les entreprises doivent prendre grand soin lorsqu’elles collectent et gèrent des données personnelles afin de les prot

éger contre les abus et les accès non autorisés.

Qui doit se conformer au RGPD ?

Toutes les entreprises, organisations et individus qui traitent les données des citoyens de l’UE doivent se conformer au Règlement Général sur la Protection des Données (RGPD). Cela inclut toute entreprise, organisation ou individu qui collecte, stocke ou utilise les données des citoyens de l’UE, quel que soit l’endroit où les données sont traitées ou stockées.

Quels sont mes droits en vertu du RGPD ?

En vertu du Règlement Général sur la Protection des Données (RGPD), les citoyens de l’UE ont un certain nombre de droits en ce qui concerne la collecte et le traitement de leurs données personnelles. Ces droits comprennent :

  1. Le droit d’être informé sur la collecte et le traitement des données
  2. Le droit d’accéder à vos données personnelles
  3. Le droit de rectification de toute donnée inexacte ou incomplète
  4. Le droit à l’effacement ou “droit à l’oubli”
  5. Le droit de restreindre ou de s’opposer au traitement de données personnelles
  6. Le droit à la portabilité des données
  7. Le droit de s’opposer à la prise de décisions automatisées et au profilage
  8. Le droit de porter plainte auprès d’une autorité de surveillance

Quelles sont les exigences de consentement du RGPD ?

Les exigences de consentement du RGPD donnent aux individus le droit de savoir comment leurs données sont utilisées et fournissent un cadre pratique aux entreprises pour protéger correctement les données personnelles de leurs clients. Le consentement doit être donné librement, de manière spécifique, éclairée et non équivoque. Cela signifie que le consentement doit être formulé en langage clair et simple, et ne peut pas être déduit du silence ou de l’inactivité.

Le consentement doit également être donné dans une déclaration séparée de toute autre modalité et doit être présenté dans un format facilement accessible. Les individus doivent également avoir la possibilité de retirer leur consentement à tout moment, et le processus de retrait du consentement doit être aussi simple que celui de son octroi initial.

Quels sont les articles importants du RGPD ?

Ces droits sont ancrés dans les articles des réglementations du RGPD. Étant donné que différentes exigences s’appliquent à différentes pratiques (sécurité, marketing, etc.), il est donc logique que les entreprises consacrent plus de temps à comprendre certains articles par rapport à d’autres.

Certains des articles les plus importants et les plus étendus comprennent les éléments suivants :

  • Article 6 – Légalité du traitement: Cet article définit les réglementations concernant le traitement et les droits des personnes concernées dans ce processus. Cela inclut quand et comment les consommateurs peuvent donner leur consentement pour la collecte, comment les organisations doivent documenter le consentement, et les mesures que les organisations doivent prendre pour garantir que le traitement est sécurisé, préserve la confidentialité de ces informations, et ne fonctionne que dans les limites clairement définies du consentement fourni et de l’utilisation commerciale raisonnable.
  • Article 15 – Droit d’accès de la personne concernée: Cet article précise que les personnes concernées ont le droit d’obtenir toutes leurs données auprès d’une organisation, y compris des informations supplémentaires sur la manière dont leurs données sont utilisées ou dont les organisations peuvent les utiliser à l’avenir.
  • Article 16 – Droit de rectification: Les personnes concernées ont le droit de modifier ou de mettre à jour toutes les informations qu’elles estiment incorrectes, soit par le biais d’un système automatique, soit en contactant l’organisation.
  • Article 17 – Droit à l’effacement: Cet article détaille la manière dont les organisations doivent répondre aux demandes d’effacement, y compris les contextes ou les circonstances d’effacement (retrait du consentement, opposition au traitement, traitement illégal, obligations légales ou absence de besoins commerciaux continus).
  • Article 18 – Droit à la limitation du traitement: Cet article définit comment une personne concernée peut gérer et s’opposer au traitement de ses informations par une organisation. Ces raisons comprennent des informations incorrectes nécessitant une correction, l’absence de besoin ultérieur pour l’entreprise de traiter ces données dans les limites du consentement fourni, ou des opérations de traitement potentiellement illégales.
  • Article 20 – Droit à la portabilité des données: Cet article met en avant les droits des personnes concernées de faire transférer leurs informations à des tiers par les organisations, dans la mesure du possible.
  • Article 21 – Droit d’opposition: Définit la capacité des personnes concernées à s’opposer à l’utilisation ou au traitement de leurs informations par une organisation (en dehors des contextes bénéfiques à l’intérêt public).
  • Article 28 – Sous-traitant: Cet article détaille les exigences légales et techniques spécifiques que toute organisation traitant des informations utilisateur doit respecter. Celles-ci incluent la collecte et la documentation du consentement, l’utilisation exclusive des données à des fins explicitement déclarées, et l’abstention de vendre les informations des consommateurs à des tiers sans le consentement de l’utilisateur.

Il existe d’autres sous-sections plus petites qui décrivent des choses spécifiques qu’une organisation doit mettre en place. Cela comprend la nomination et le maintien du poste de Délégué à la Protection des Données (DPD) conformément à la réglementation, la fourniture de mentions légales significatives pour les formulaires de consentement, et l’obligation de signaler les violations aux autorités de régulation dès qu’elles sont remarquées.

Quels sont les Exigences Techniques du RGPD ?

  1. Les responsables du traitement des données personnelles doivent garantir la sécurité appropriée des données personnelles, y compris le chiffrement des données personnelles, le cas échéant.
  2. Les organisations doivent veiller à ce que les données personnelles ne soient traitées que lorsque cela est nécessaire et dans le respect du droit d’accès, de rectification et d’effacement de la personne concernée.
  3. Les organisations doivent fournir aux personnes concernées des informations claires et concises concernant le traitement de leurs données personnelles.
  4. Les organisations doivent tenir des registres de toutes les activités de traitement des données personnelles qu’elles ont menées.
  5. Les organisations doivent obtenir le consentement préalable des personnes concernées pour tout traitement de leurs données personnelles.
  6. Les organisations doivent nommer un Délégué à la Protection des Données (DPD) chargé de surveiller la mise en œuvre et la conformité aux réglementations du RGPD.
  7. Les organisations doivent réaliser régulièrement des évaluations de l’impact sur la protection des données (EIPD) pour identifier et atténuer les éventuels risques liés à la protection des données.
  8. Les organisations doivent accorder aux personnes concernées le droit de s’opposer au traitement, le droit à la portabilité des données et le droit à l’oubli.
  9. Les organisations doivent notifier les autorités compétentes des violations de données dans un délai de 72 heures.
  10. Les organisations doivent respecter les principes de la protection des données par conception et de la protection des données par défaut.

Comment le RGPD Impacte-t-il les Entreprises Américaines (Meilleures Pratiques pour la Conformité au RGPD) ?

En règle générale, un cadre de conformité pour les pays de l’UE n’affecterait pas les entreprises aux États-Unis. Avec de plus en plus d’entreprises passant au numérique et aux plateformes en ligne, il est presque impossible d’éviter de faire des affaires dans l’UE à moins de restreindre spécifiquement votre entreprise en ce sens.

Il y a quelques changements que les entreprises américaines peuvent envisager à l’avenir :

  • Auditer Toutes les Données de l’UE : Tout d’abord, vous devez comprendre la quantité de données que vous recevez de personnes concernées de l’UE, comment vous traitez ces données à des fins commerciales ou marketing, et si ces données sont liées à des activités commerciales réelles (biens et services) pour ces consommateurs. Cela vous donnera une idée de vos obligations.
  • Obtenir le Consentement pour Toutes les Initiatives Marketing : Si votre site Web collecte des adresses e-mail ou d’autres informations auprès d’utilisateurs du monde entier, alors les utilisateurs de l’UE peuvent être concernés. C’est pourquoi de nombreuses entreprises incluent des formulaires de consentement explicites pour les pages de destination où les adresses e-mail des utilisateurs peuvent être utilisées à des fins commerciales ou de marketing. Cela comprend des mentions légales plus détaillées et des cases à cocher claires indiquant les utilisations spécifiques des informations recueillies.
  • Consentement pour les Cookies de Suivi : Vous avez peut-être remarqué une augmentation des bannières bien visibles sur les sites Web d’actualités et de vente au détail demandant, dans de longs passages, la permission de fournir des cookies. Le RGPD considère l’utilisation de cookies pour gérer les comptes ou le comportement de navigation comme une forme de collecte, et en tant que tel, toutes les entreprises doivent se conformer au RGPD si elles collectent des cookies auprès de consommateurs de l’UE.
  • Examiner les Relations avec les Fournisseurs : Si des prestataires de services tiers gèrent les informations d’une organisation, il vous incombe en partie de contrôler la manière dont les informations en provenance de l’UE sont utilisées dans le cadre de vos opérations.
  • Être Prêt en Cas de Violation : Selon la loi de l’UE, les organisations doivent réagir rapidement aux violations. Alors que les réglementations aux États-Unis prévoient plus de temps pour les rapports, les organisations n’ont que 72 heures en vertu de la loi de l’UE.
  • Nommer un DPD: Si une organisation n’a pas de Délégué à la Protection des Données et réalise des activités substantielles dans l’UE, elle devrait en embaucher un. Non seulement cela aidera l’organisation à respecter la conformité, mais cela peut également orienter les efforts de conformité de l’organisation aux réglementations du RGPD.
  • Comprendre les Lois sur le Transfert International de Données : Le RGPD comprend des lois concernant le transfert d’informations de consommateurs à travers les frontières nationales, et le non-respect de ces lois peut coûter du temps et de l’argent. Comprendre ces lois sera également crucial si une organisation utilise des technologies telles que le transfert de fichiers géré (MFT) ou le protocole de transfert de fichiers SSH (SFTP) pour les activités en lien avec l’UE. Les États-Unis et l’Union européenne ont un cadre, le Privacy Shield Framework, pour faciliter ces transferts.

Quelles Sont les Sanctions en Cas de Non-Conformité au RG

PD

?

Comprendre la réglementation de l’UE peut sembler être une tâche importante, mais elle est nécessaire. Récemment, des entreprises internationales telles que Google, Facebook et Apple ont été confrontées à plusieurs poursuites judiciaires en raison d’un manque de conformité à la loi de l’UE.

L’aspect le plus important de la conformité et des sanctions en vertu du RGPD est que les sanctions sont établies pour être proportionnelles aux gains réels de l’entreprise. Ainsi, au lieu de fixer une amende ou une fourchette d’amendes fixes, le RGPD utilise des proportions des gains de l’entreprise pour calculer les sanctions.

Le RGPD utilise deux niveaux différents de sanctions :
 

  1. Niveau 1 se concentre sur les infractions moins graves à la loi du RGPD, notamment les violations des réglementations relatives aux certifications et autorisations, le maintien de la base légale du traitement des affaires et, le cas échéant, la fourniture ou la réception de services de surveillance transparents et impartiaux. En gros, l’organisation doit rester sincère dans sa conformité, maintenir des normes de traitement de base et utiliser ou fournir une surveillance de conformité honnête. À ce niveau, les sanctions sont des amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel total, selon le montant le plus élevé.
  2. Niveau 2 concerne les violations plus graves, notamment celles liées au traitement illégal des données ; à l’absence de consentement ; à l’absence de divulgation significative pour obtenir le consentement ; à l’absence de respect des droits des consommateurs à l’effacement, à l’accès ou à d’autres droits ; et aux transferts illégaux vers d’autres pays. À ce niveau, les sanctions sont des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel total, selon le montant le plus élevé.

L’objectif de ces sanctions est de dissuader toute entreprise, en particulier les grandes entreprises disposant de milliards de dollars d’actifs, de violer la loi à sa guise.

Vous Souhaitez En Savoir Plus sur la Conformité au RGPD ?

Le RGPD est le présent et l’avenir de la cybersécurité et des droits des consommateurs. Même s’il s’agit d’un ensemble de réglementations spécifiques à l’UE, la portée de plus en plus mondiale du commerce numérique rend difficile de l’ignorer. De plus, il est probable que, tôt ou tard, nous verrons les normes définies dans le RGPD se propager dans d’autres pays. Même maintenant, la California Consumer Privacy Act (CCPA) intègre certains aspects du RGPD dans son langage.

Travailler en conformité avec le RGPD nécessitera des bases techniques solides pour unifier la sécurité, la conformité et la journalisation afin de respecter les lois sur le consentement et la protection des données. Pour en savoir plus sur la conformité au RGPD en ce qui concerne les communications de contenu sensible, lisez nos articles dans les archives de Kiteworks.

 

Retour au glossaire des risques & conformités

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Partagez
Tweetez
Partagez
Explore Kiteworks