La loi RGPD ou Règlement général sur la protection des données

La loi RGPD

Depuis le 25 mai 2018, le règlement no 2016/679, dit règlement général sur la protection des données (RGPD ou GDPR en anglais), est entré en vigueur!

Règlement de l’Union européenne, cela met à jour les politiques et réglementations sur la protection des données à caractère personnel.
Conçut pour les individus vivants dans un des 28 États membres de l’Union européenne, les plateformes numériques comme Google et Facebook doivent adapter leurs politiques pour la respecter.

Votre entreprise est-elle concernées?
Que devez-vous faire?
Quelles sont les grandes lignes?
Quels sont les risques à ne pas s’y conformer?

Cet article n’est en rien un avis juridique mais bien le fruit de mes recherches afin de tenter de vous expliquer en quoi cette loi vous concerne, ou peu … pour l’instant. Et pour être honnête, plusieurs spécialistes ne s’entendent pas sur toutes les obligations,  

4 grandes questions à vous poser en premier lieu.

  1. Avez-vous des bureaux ou des employés au seins de l’UE?
  2. Offrez-vous des biens ou des services par intermédiaire de votre site web (ou une application mobile) à des gens vivant u sein de l’UE
  3. Utilisez-vous des témoins (cookies) sur votre site ou application mobile pour recueillir des adresses IP et autres données personnelles de gens qui vivent au sein de l’UE?
  4. Traitez-vous les renseignement personnels de gens qui vivent au sein de l’UE pour le compte de vos clients d’affaires?

Vous avez un site web?, il y’a fort à parier que l’un de ces 4 points vous concernent.

1. C’est quoi ça le RGPD?

C’est un règlement établi par l’Union européenne dans le but de protéger les données à caractère personnel des gens au sein des pays membres pour réguler leur utilisation et leur stockage.

Qu’est-ce qu’une donnée à caractère personnel?

Selon l’article 4.1 du texte de loi, une donnée à caractère personnel équivaut à «toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »)?; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale». (Source : http://www.privacy-regulation.eu/fr/4.htm)

Donc si vous demandez à le courriel, la ville etc. d’un utilisateur, il s’agit de données personnelles, idem si vous utilisez Google Analytics qui récolte les adresses IP, la ville etc.

Obtenir un consentement clair et précis

Ce que dit le texte de loi :

«Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant […]. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, […] ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.» (Source : http://www.privacy-regulation.eu/fr/r32.htm)

Informer les utilisateurs

La nouvelle loi demande à toutes entreprises d’informer leurs utilisateurs de la manière dont leurs données seront traitées, utilisées et/ou stockées.
(Vous avez un site WordPress? Il est facile d’y ajouter une page sur votre Politique de protection de la vie privée.

2. C’est une loi européenne… pourquoi cela s’appliquerait à mon entreprise canadienne?

Vous collectez des informations de visiteurs provenant d’Europe,cela vous concerne et vous devez vous y conformer.
Vous autorisez des commentaires sur votre blogue (avec nom et courriel),
Vous utiliser Google Analytics,
Vous demander un courriel pour s’abonner à votre infolettre
tout cela c’est de la collecte de données personnelles!

Voyez cela comme une amélioration 

Le RGPD vous pousse à revoir vos pratiques, à les bonifier et/ou les changer. Prenez donc cela comme une opportunité d’amélioration dans votre façon de faire dans votre relation avec vos clients et les visiteurs de votre site web!

3. Qu’est-ce que je fais maintenant avec mon site web?

Selon ce que vous faites déjà, plusieurs actions peuvent être nécessaires :

  • Ajoutez une page présentant votre politique de confidentialité ou de protection de la vie privée sur votre site web.
  • Si vous avez un site WordPress, une nouvelle option « Confidentialité » a été ajoutée dans les réglages. WordPress vous propose même des recommandations des éléments à inclure dans votre politique!
  • Placer un lien renvoyant vers ces politiques sur votre formulaire d’abonnement à votre infolettre.
  • Informez vos visiteurs si vous utilisez des cookies et installez une extension leur permettant de les désactiver.
  • Vérifier les extensions reliées à votre site.
  • Vous devez en clair prioriser les éléments suivants :
    1. Avoir une politique de confidentialité et des termes et conditions clairs accessible au visiteur
    2. Les avertir dès la première page si vous collectez des données (cookies) et avoir le choix d’accepter ou de refuser
    3. Il doit pouvoir demander une copie de ces données
    4. Il doit pouvoir demander l’effacement de ces données
    5. Il doit pouvoir facilement savoir quelles données vous collectez
    6. Il doit pouvoir communiquer facilement avec un responsable de la vie privée.

4. Et les abonnés actuels dans votre infolettre?

Dans le meilleur des mondes ce serait de demander à vos abonnés de se RÉ ABONNER une fois que vous serez conforme à la loi RGPD.
Mais il y’a de fortes chances que vous perdiez plusieurs de vos abonnés.
De fait, nous avons remarqué que la plupart des grandes compagnies envoient un courriel à leur liste d’abonnés avec leurs nouvelles politiques de protection de vie privée et de cookies. Dans ce courriel, les utilisateurs ont la possibilité de se désabonner s’ils sont en désaccord avec ces nouvelles politiques.

Naturellement vous devez déjà être conforme avec la loi C-28 qui oblige entre autre chose d’avoir au bas de vos courriels un mécanisme de désabonnement à la liste d’envois.

5. Les conséquences de ne pas se conformer à la loi

Le législateur a prévu un arsenal de sanctions administratives en cas de non-respect de la réglementation, allant du simple avertissement à une amende d’un montant pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise en cas d’infraction aux règles applicables au consentement ou d’infraction aux transferts de données personnelles hors de l’Union Européenne.

 

Vous désirez approfondir le sujet?

Voici une liste de liens externes reliés à cette nouvelle loi et les impacts sur les entreprises canadiennes.

https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf

http://www.isaca-quebec.ca/assets/presentations/2017-06-01_MGSI_Conf%C3%A9renceRGPD.pdf

https://www.01net.com/actualites/protection-des-donnees-ce-que-la-gdrp-va-changer-au-25-mai-2018-1256635.html

http://www.editionsyvonblais.com/blogue/sebastien-lapointe/en-plus-des-entreprises-meme-les-offices-nationaux-deurope-se-disent-mal-prepares-a-lentree-en-vigueur-du-nouveau-reglement-gdpr-433/

https://www.jurisexpert.net/lentree-en-vigueur-du-ceta-limpact-du-gdpr-au-canada/

http://www.lapresse.ca/techno/internet/201805/25/01-5183199-les-firmes-canadiennes-doivent-obeir-au-rgpd-de-lue.php

Bonne lecture!