Le 25 mai 2018 l’Union Européenne adoptait le règlement général sur la protection des données (RGPD / GDPR). À ce jour, il s’agit de la loi la plus stricte au monde concernant le traitement des informations personnelles par les entreprises privées.
Aujourd’hui, on refait le point sur cette réglementation et on vous explique comme l’appliquer dans votre politique de confidentialité.
On vous rafraîchit la mémoire
Mais si, vous vous souvenez du 25 mai 2018… Ce jour là, nous avons tous reçu un demi-millier de courriels avec le même objet : « Nous avons mis à jours notre politique de confidentialité ». Si vous les avez ouverts, vous avez pu lire que vous aviez maintenant la possibilité de contrôler les informations que certaines sociétés privées possèdent à votre sujet. Les messages se terminaient également par une demande de consentement explicite de votre part afin de pouvoir continuer de correspondre avec vous. En bref, ces organisations se sont conformées au RGPD et c’est ce dont nous allons parler tout de suite.
RGPD / GDPR : qui est concerné ?
Votre entreprise offre-t-elle des biens ou services à des personnes situées sur le territoire européen ? Votre site collecte-il certaines données personnelles via un formulaire, une infolettre ou un forum ? Utilise-t-il des fichiers témoins de fonctionnalité, de performance ou de publicité ? Si vous avez répondu « oui » à ces trois questions alors vous devez vous conformer au RGPD.
En cas de non-respect d’un des principes du règlement, la responsabilité de la personne en charge du traitement des données personnelles pourrait être engagée. Cela pourrait également engendrer de lourdes conséquences financières pour l’entreprise. La plus grosse sanction applicable par les autorités de contrôle est de 30 millions CAN $ ou de 4 % du revenu global annuel d’une entreprise. Hé oui, ça peut faire très mal… Voilà pourquoi il est important que votre organisation possède des politiques de sécurité et de confidentialité adaptées.
Le RGPD en 5 points
Le règlement général sur la protection des données (RGPD) ou General Data Protection Regulation (GDPR) est une politique de confidentialité boostée aux stéroïdes. Le règlement a pour objectif de pousser les entreprises à faire preuve de transparence et de prudence concernant la gestion des données de leurs clients.
Ces derniers doivent maintenant donner leur consentement explicite quant à l’utilisation de leurs renseignements personnels. Ils doivent aussi pouvoir avoir accès à leurs informations et posséder les outils pour les modifier ou les supprimer. Ils détiennent également le droit de demander aux entreprises de leur fournir les informations qu’elles possèdent à leur sujet. Enfin, selon le RGPD, les entreprises ne doivent colliger que les informations indispensables à leur bon fonctionnement. Les objectifs de la collecte de données et les outils utilisés pour assurer la sécurité maximale des informations doivent être explicités et disponibles à la consultation sur les sites web des organisations.
Pour faire court, les citoyens européens ont le droit :
- d’accéder à leurs renseignements personnels.
- de connaître l’usage qui en est fait et le but de la collecte.
- de modifier / limiter ou demander la suppression de leurs informations.
- de refuser la collecte de leurs données.
- de savoir quels moyens sont déployés pour protéger les informations personnelles.
Comment s’adapter au RGPD / GDPR ?
Vous possédez probablement déjà la politique de confidentialité obligatoire au Québec qui respecte la loi du CAnLII. En vous appuyant sur celle-ci, voici les différentes étapes à suivre pour vous conformer au règlement européen :
- Si ce n’est pas fait, nommez une personne en charge de la protection des renseignements personnels au sein de la haute direction. Elle sera chargée d’orchestrer la mission et de s’assurer qu’elle soit documentée.
- Changez de perspective : il ne s’agit pas ici de se conformer à une loi mais plutôt de gérer les risques concernant les enjeux de protection de la vie privée de vos utilisateurs.
- Cartographiez votre traitement des données en mettant à jour votre politique de confidentialité selon les points énoncés dans la section précédente. Questionnez-vous : quels types de données collectez-vous ? Dans quels buts, par quels moyens et où les stockez-vous ? Qui y a accès et quels outils assurent la sécurité de ces informations ?
- Priorisez les actions à mener.
- Tenez-vous régulièrement au courant des nouveautés concernant le RGPD / GDPR avec des alertes Google.
- Diffusez de l’information au sujet du respect de la vie privée et du traitement des données des internautes à tous vos employés. Faites figure d’exemple et sensibilisez également vos collaborateurs et partenaires.
- Faites appel à des professionnels pour vous aider dans votre transition.
Notre équipe de spécialistes est évidemment à votre disposition pour aider à vous adapter à ce nouveau standard. Appelez-nous au (+1) 514-312-1508 ou écrivez-nous à [email protected]. Il nous fera plaisir de répondre à toutes vos questions !