Conformité avec le RGPD

Une nouvelle ère pour la protection des données personnelles

Qu’est-ce que le RGPD ?

Le règlement général sur la protection des données (RGPD) est une mise à jour majeure de la loi sur la confidentialité des données. Le nouveau règlement, qui est entré en vigueur le 25 mai 2018, définit les responsabilités de toute entité au sein de l’UE qui traite des données personnelles et de toute entité, indépendamment de son emplacement géographique, qui traite des données personnelles pour fournir un produit ou un service dans l’UE. Et il définit clairement les droits des personnes concernées dont les données personnelles sont traitées par ces entités.

Le RGPD remplace la directive 95/46/CE sur la protection des données, qui est entrée en vigueur en 1995. C’était avant l’apparition de l’internet. Compte tenu de tous les changements intervenus depuis lors en ce qui concerne la collecte et l’utilisation des données à caractère personnel, le RGPD est attendu depuis longtemps et fait entrer la protection des données à caractère personnel dans le XXIe siècle.

La transparence est une valeur fondamentale du RGPD. En bref, personne n’a le droit de stocker et de traiter nos données personnelles à notre insu et sans notre consentement, à l’exception de situations clairement spécifiées.

Le RGPD responsabilise davantage les entreprises en matière de protection des données personnelles qu’elles collectent ou traitent. Pour se mettre en conformité, les concepts de “privacy-by-design” et de “privacy-by-default” doivent régir le développement de tous les nouveaux produits, systèmes et processus. En outre, le RGPD exige que les entreprises ne se contentent pas de se conformer, mais qu’elles puissent clairement démontrer leur conformité. Les manquements graves peuvent entraîner des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

 

Décision SCHREMS II

La Cour de justice de l’Union européenne (“CJUE”) a rendu sa décision dans l’affaire “Schrems II” le 16 juillet 2020, une décision historique qui invalide l’accord UE-États-Unis sur le bouclier de protection de la vie privée. Jusqu’à cette décision, le Privacy Shield avait servi de mécanisme d'”adéquation” approuvé pour protéger les transferts transfrontaliers de données à caractère personnel de l’UE vers les États-Unis en vertu du règlement général sur la protection des données de l’UE (“GDPR”). La CJUE n’a pas invalidé les clauses contractuelles types (“CCN”) de la Commission européenne pour les transferts vers des sous-traitants de données, ce qui signifie qu’elles peuvent toujours être utilisées comme mécanisme de transfert de données en dehors de l’UE.

Dans le cadre de ses services, Scrive ne transfère pas de données à caractère personnel vers les États-Unis et les héberge exclusivement au sein de l’UE. L’utilisation des services Scrive n’est donc pas affectée par la décision de la CJUE d’invalider le Privacy Shield.

D’une manière générale, nous sommes conscients que l’interprétation et l’application de “Schrems II” sont encore en cours de développement et nous pensons qu’une approche prudente est appropriée. Nous sommes très attachés à la protection de la vie privée et à la sécurité de l’information et nous suivons de près toutes les orientations des autorités ainsi que d’autres développements.

Terminologie

Personne concernée

Toute personne physique identifiée ou identifiable.

Responsable du traitement

Toute personne physique ou morale ou toute autre entité qui détermine les finalités et les moyens du traitement des données à caractère personnel. Une entreprise est un contrôleur de données en ce qui concerne les données à caractère personnel qu’elle détient sur ses employés, ses clients, ses fournisseurs et d’autres personnes pour son propre compte. Un exemple typique est la conservation et l’utilisation de données à caractère personnel telles que les adresses électroniques à des fins de marketing.

Processeur de données

Entité qui traite des données à caractère personnel pour le compte d’un responsable du traitement. Un exemple typique est celui d’un fournisseur de services d’automatisation du marketing qui envoie des courriels de marketing pour le compte d’une autre entreprise.

Données à caractère personnel

En général, on entend par “données à caractère personnel” toute information pouvant être utilisée pour identifier une personne. Le GDPR élargit les définitions juridiques précédentes pour inclure des identifiants tels que :

  • génétiques
  • mentaux
  • culturels
  • économiques
  • sociaux

Le consentement

Le RGPD définit des exigences plus strictes en matière de consentement lorsque les personnes concernées fournissent leurs données à caractère personnel. Un exemple typique est celui d’un visiteur de site web qui choisit de participer à une campagne d’e-marketing en fournissant son adresse électronique.

Le RGPD stipule que le consentement doit être

  • librement donné – un employeur demandant des données personnelles à un employé ne satisferait pas à cette exigence, en raison de la relation qu’il entretient avec ce dernier
  • spécifique – il doit être clair que les données collectées ne seront utilisées que pour des activités spécifiques
  • éclairé – la personne concernée doit disposer d’informations suffisantes sur ces activités pour prendre une décision en connaissance de cause
  • sans ambiguïté – “le consentement doit être donné par un acte affirmatif clair” ; il s’agit de l’un des changements les plus importants du GDPR, car cela signifie qu’il n’est plus légal d’obtenir le consentement d’une personne concernée par des moyens tels que l’offre d’une boîte d’opt-in pré-cochée.

Les responsables du traitement des données ont de nouvelles exigences en matière de conformité, notamment :

  • Lorsqu’ils sollicitent le consentement, les responsables du traitement doivent utiliser un langage clair et simple pour communiquer avec les personnes concernées.
  • Le consentement doit être vérifiable. Les entreprises sont tenues de tenir des registres de consentement qui peuvent être consultés pour vérifier
    • que la personne concernée a donné son consentement
    • ce à quoi elle a consenti
    • quand elle a donné son consentement

 

Droits des personnes concernées (DSR)

Le GDPR définit divers droits que tous les citoyens de l’UE ont en tant que personnes concernées. Nous avons tous le droit de savoir qui détient et traite nos données à caractère personnel, et à quelles fins. Nous avons également le droit de :

  • demander une transcription de nos données personnelles et de les recevoir dans un format portable
  • corriger toute erreur
  • demander l’effacement définitif de nos données
  • restreindre les types de données qui peuvent être stockées et traitées
  • restreindre les modalités de traitement de nos données
  • retirer notre consentement à tout moment
  • être clairement informé de tous ces droits.

De leur côté, les responsables du traitement des données sont tenus de :

  • faire en sorte qu’il soit aussi facile pour les personnes concernées de retirer leur consentement que de le donner
  • prendre toutes les mesures raisonnables pour vérifier l’identité des personnes concernées qui font ces demandes
  • répondre à ces demandes et d’y donner suite sans retard injustifié (dans un délai d’un mois à compter de la réception de la demande)
  • effacer les données à caractère personnel dès que la finalité pour laquelle elles les ont collectées a expiré (sans dépendre des demandes des personnes concernées)
  • veiller à ce que leurs contrats avec les sous-traitants précisent que des mesures de sécurité conformes au GDPR sont en place pour protéger les données à caractère personnel

La conformité facilitée

La numérisation de vos processus facilite toujours la mise en conformité. Mais même si vous êtes déjà 100% sans papier, le RGPD exige un certain nombre de changements dans vos systèmes et processus. Scrive peut vous faciliter la tâche.

En tant que responsable du traitement des données et sous-traitant, Scrive comprend les défis auxquels nos clients sont confrontés. En tant que partenaires de confiance dans la transformation numérique, nous fournissons des solutions élégantes qui simplifient vos processus, réduisent les coûts et améliorent votre marque. En fait, nous mettons les solutions et l’expertise de Scrive au service de nos propres opérations, et cela s’applique également à notre conformité RGPD !

Des questions ?

Parlez-nous de ce que vous recherchez aujourd'hui.

Nous contacter