10 choses à retenir le RGPD

RGPD : qu’est-ce que c’est ?

Le RGPD est l’abréviation du Règlement Général sur la Protection des Données (appelé également GDPR pour General Data Protection Regulation en anglais). C’est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel. Ces informations données par les consommateurs (âge, sexe, habitudes, adresse…) sont utilisées par les entreprises pour proposer des services et des produits. Ce nouveau texte concerne l’ensemble des résidents de l’Union européenne.

Définition d’une donnée personnelle

Une donnée à caractère personnel est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut donc s’agir du nom de la personne, son adresse IP, ou encore son adresse postale. Une donnée personnelle est considérée comme sensible dès qu’elle touche à des informations pouvant donner lieu à des préjugés ou discriminations. C’est le cas notamment des préférences sexuelles ou des opinions politiques par exemple.

A savoir : les données sensibles possèdent déjà un cadre juridique particulier. Ce dernier interdit toute collecte sans consentement préalable écrit, clair et explicite, et pour des cas précis, validés par la CNIL (Commission Nationale de l’Informatique et des Libertés), et dont l’intérêt public est avéré.

Les objectifs du RGPD

L’objectif principal du RGPD est d’harmoniser le cadre juridique européen en matière de protection des données personnelles.
Le Règlement général sur la protection des données a trois autres objectifs principaux :

• Renforcer les droits des personnes, grâce, notamment, à la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
• Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
• Crédibiliser la régulation par la mise en place d’une coopération renforcée entre les autorités de protection des données des états membres. Ces autorités, dont la CNIL pour la France, pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux, et appliquer des sanctions renforcées le cas échéant.

25 mai 2018, entrée en vigueur du RGPD

À partir du 25 mai 2018, toutes les entreprises (européennes ou non) devront respecter les nouvelles règles juridiques pour la collecte, le traitement, la conservation et la sécurisation des données personnelles recueillies auprès des résidents européens.

A noter : après le 25 mai, le non-respect du RGPD pourra déboucher sur des sanctions, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Les conséquences du RGPD sur les internautes

Objectif principal pour les internautes : donner un accord éclairé pour la collecte et l’exploitation de ses données. Les mineurs (moins de 16 ans) seront plus protégés, les entreprises devront demander clairement l’accord des parents pour une inscription, notamment sur les réseaux sociaux. Les droits des internautes seront aussi renforcés, notamment le droit à l’oubli, le droit d’accéder à leurs données, les corriger et les supprimer, ainsi que le droit à la portabilité (récupérer l’ensemble de ses données fournies et les envoyer vers un autre prestataire). En résumé, les internautes devront avoir des informations claires et précises sur la collecte et/ou l’utilisation des données personnelles.

Que doivent faire les entreprises pour être conforme au RGPD ?

Six étapes incontournables doivent être mises en place par les entreprises concernées par le RGPD.
1. Désigner un délégué à la protection des données
2. Recenser les traitements de données personnelles
3. Identifier les actions à mener pour vous conformer au RGPD
4. Analyse d’impact sur la protection des données susceptibles d’engendrer des risques
5. Mettre en place des procédures internes
6. Regrouper la documentation nécessaire pour prouver votre conformité au RGPD.

Découvrez le formulaire de notre partenaire Coservit qui vous permettra de savoir si vous êtes aux normes et les actions à mettre en place pour être conforme au RGPD.

L’opt-out et opt-in passif sont désormais interdits

A partir du 25 mai 2018, le consentement devra être demandé de manière explicite via l’opt-in uniquement. L’opt-out qui consiste à inscrire d’office à utilisateur à votre base après une inscription à un service, et l’opt-in passif qui consiste à obtenir le consentement d’un utilisateur de manière détournée (par exemple, en pré-cochant la case d’inscription à votre base de données), seront désormais interdits par le RGPD.

Conformité RGPG : les actions à effectuer sur Google Analytics

1 . La conservation des données

Dans Administration / Propriété / Informations de suivi, vous devrez sélectionner la durée pendant laquelle vous souhaitez conserver les informations sur les utilisateurs (cookies et identifiants). Vous devrez ensuite indiquer si vous souhaitez réinitialiser cette durée chaque fois que l’internaute réalise un nouvel événement.

2. Les conditions de traitement des données

Dans Administration / Compte / Paramètres du compte, vous devrez :
• Consulter l’avenant ;
• Renseigner les coordonnées de la personnalité juridique et du contact puis enregistrer.

Informer l’utilisateur du profilage

Sachez que le profilage, qui correspond au traitement automatisé des données personnelles, devra désormais faire l’objet d’une information précise auprès des utilisateurs. Ces derniers pourront également sortir de cette automatisation et/ou s’y opposer. Pensez à mettre à jour vos clauses de confidentialité et vos textes de formulaires pour être conforme au RGPD.

Sécuriser les données collectées

Les entreprises collectant des données, notamment à caractère personnel, doivent prendre les mesures nécessaires pour garantir au mieux leur sécurité. Ces mesures dépendent de la sensibilité des données et des menaces qui pèsent sur les personnes en cas de d’incident. L’objectif étant de minimiser les risques de pertes de données ou de piratage. Les entreprises doivent donc penser à mettre à jour les antivirus, les logiciels et changer régulièrement les mots de passe.

Partagez, c'est si simple (et ça fait plaisir) :