RGPD en 2018
Important à lire svp !
Cet article est destiné à tous mes clients qui possèdent un site internet.
Le RGPD c’est quoi ?
Vous devriez, normalement, déjà avoir eu ces informations par vos instances professionnelles ou lu de la littérature à ce sujet.
Vous avez déjà sans doute mis en place les mesures relatives à cette nouvelle loi. Mais si ce n’est pas le cas, cet article est fait pour vous. De plus, vous pouvez être concernés avec les données traitées sur vos sites internet si :
– Vous avez déjà une liste de contacts vers lesquels vous envoyez des e mailing,
– Vous avez un petit formulaire de recueil d’emails pour une inscription à votre newsletter,
– Vous utilisez un formulaire de contact,
– Vous utilisez un formulaire pour un site de e commerce.
J’ai mis cet article en page sur mon site pour vous informer que vous êtes, vous aussi concernés par la nouvelle loi du RGPD (Règlement Européen sur la Protection des Données, qui sera officiellement applicable à partir du 25 mai 2018), de part l’utilisation que vous avez via votre activité professionnelle des données personnelles que vous manipulez, mais aussi avec celles traitées via votre site internet.
Pour les données personnelles des personnes avec qui vous commercez ou communiquez via votre base de données de contacts de votre boite email mais aussi celle incluse dans votre site internet si vous communiquez avec des Emailings et Newsletters.
D’après les textes actuels,
– Vous ne devriez pas être concernés par la législation sur les cookies car les sites de mes clients aujourd’hui n’utilisent pas ces cookies à des fins publicitaires. Ces cookies ne sont utilisés qu’à des fins d’analyses de trafic (Google analytics) et sont à ce jour, tolérés par cette loi.
Pour les sites internet, vous en êtes les propriétaires et les gestionnaires et donc responsables aux yeux de la loi de la gestion et la protection des données de vos contacts sur celui-ci.
– D’après les textes actuels, la tolérance devrait être de mise dans une relation BtoB (Business to Business), mais le consentement éclairé sera obligatoire dans le cas d’une relation BtoC (Business to Customer).
J’ai pensé qu’il était nécessaire de vous rappeler ces obligations que vous n’êtes pas censé ignorer.
Il ne faut pas s’affoler, mais si vous vous ne vous êtes pas encore penché sur le sujet, il est très important que vous le lisiez cet article pour découvrir quelles sont vos obligations en la matière. Et surtout, par la suite, pouvoir prouver que vous avez initié les mesures pour vous mettre en conformité.
Comme je ne suis pas pas juriste, ni spécialiste en la matière, cet article est la reproduction exacte d’un article paru sur le site « Commentcamarche.com » rubrique Droit-Finance lien vers l’article d’origine.
J’ai décidé d’utiliser leur article dans son intégralité car, de toute la littérature que j’ai pu consulter ici et là, celui-ci me paraît le plus concis et compréhensible pour le plus grand nombre, sans être trop rébarbatif.
Je vous invite vivement à le lire du début à la fin.
Je me tiens à votre disposition à partir de ce mardi 22 mai pour en causer ensemble, vous conseiller, et voir quelles mesures personnalisées nous devrons mettre en place sur votre site internet pour vous mettre en conformité et voir comment communiquer ensuite auprès de vos listes de contacts.
Bien à vous
Marcello
– Début de l’article –
Le RGPD va modifier en profondeur la réglementation sur la protection des données personnelles en France et en Europe.
Quand entrera-t-il en vigueur ? Qui est concerné ? Voici une liste de nouvelles obligations et de nouveaux droits bientôt applicables.
Définition
Le RGPD (« règlement général sur la protection des données ») est un nouveau règlement européen qui encadre les règles de protection des données personnelles (règlement UE 2016/679). Il fixe de nouveaux droits pour les personnes physiques dont les données sont collectées et de nouvelles obligations pour les responsables de leur traitement (essentiellement des administrations et des entreprises).
Cette nouvelle réglementation vise à mieux adapter le droit des personnes à l’évolution numérique, et notamment au développement du « big data », du e-commerce, des objets connectés… qui reposent en grande partie sur la collecte et le traitement des données personnelles.
Texte
Le texte du règlement est téléchargeable en ligne sur internet sous la forme d’un fichier PDF.
Télécharger le texte du RGPD 2018
La parution du règlement précède celle d’une future loi française relative à la protection des données personnelles, qui devrait être votée au début de l’année 2018 afin d’adapter l’ancienne loi Informatique et Libertés aux nouvelles règles européennes.
Date d’entrée en vigueur
Le RGPD doit entrer en vigueur en France et dans les autres pays de l’UE le 25 mai 2018 (date inscrite à l’article 99 du RGPD).
Contrairement aux directives, les règlements européens sont directement applicables dans tout État membre.
Qui est concerné ?
Quelles sont les entreprises concernées par le RGPD ?
Toutes les entreprises responsables de traitements de données personnelles sont concernées par le RGPD. Les informations permettant d’identifier une personne sont notamment considérées comme des données personnelles : le nom, l’adresse, la date de naissance, la localisation, l’adresse IP… Dès lors que l’entreprise stocke ces données (que cela soit sous la forme de fichier, de tableau, etc.), elle est concernée.
Le texte ne vise donc pas que les réseaux sociaux ou les plateformes internet travaillant massivement sur le « big data » (Google, Facebook…), mais aussi toutes les grandes entreprises, les PME et les TPE qui effectuent des traitements de données. Les nouvelles obligations concerneront notamment les sous-traitants des grandes sociétés qui devront démontrer leur mise en conformité au RGPD (sous peine de perdre des contrats…).
Mais les obligations du règlement ne se limitent pas aux seules entreprises privées puisque les administrations ou les associations sont également concernées.
En revanche, le RGPD ne s’applique pas aux particuliers, c’est-à-dire, selon l’article 18 du règlement, aux personnes physiques qui effectuent des traitements de données à caractère personnel au cours d’activités strictement personnelles ou domestiques. Ces traitements de données doivent être sans lien avec une activité professionnelle ou commerciale.
Droits des personnes
Le RGPD instaure de nouveaux droits pour les personnes dont les données personnelles sont traitées. Voici les principaux.
Information
Lorsqu’il collecte les données d’une personne, le responsable du traitement doit lui fournir un certain nombre d’informations dont la liste figure aux articles 13 et 14 du RGPD. Elle comprend notamment l’identité et les coordonnées du responsable du traitement (et le cas échéant, les coordonnées du DPO), les finalités de ce traitement, ainsi que l’indication des destinataires de ces données.
Demande d’effacement et droit à l’oubli
L’article 17 du RGPD prévoit également un droit à l’effacement : la personne concernée peut demander l’effacement de ses données pour l’un des motifs listés dans l’article. Le responsable du traitement devra alors procéder à la suppression des données dans les meilleurs délais.
La CJUE avait déjà reconnu un « droit à l’oubli numérique » permettant à une personne de demander à un moteur de recherche de dé-référencer des résultats le concernant. Google avait alors mis en ligne un formulaire Google de droit à l’oubli.
Droit à la portabilité
Le règlement crée un droit à la portabilité des données. Il permet, en quelque sorte, à une personne physique de s’approprier ses propres données et donc d’en demander :
la restitution : la personne peut récupérer ses données afin de pouvoir les stocker et les réutiliser pour son usage personnel, comme bon lui semble ;
le transfert à un autre responsable de traitement, l’un des objectifs affichés de ce nouveau droit consistant à faire jouer la concurrence entre les différents responsables de traitement (à l’image de ce qui existe en matière de portabilité des numéros de téléphone, par exemple).
Le responsable de traitement d’origine ne pourra pas s’opposer à la demande de la personne concernée.
Action collective
Le règlement autorise les actions de groupe, à l’instar des droits existant en matière de consommation. Des associations pourront donc agir en justice pour faire valoir les droits des personnes en matière de protection des données personnelles.
Opposition
La personne dispose également d’un droit d’opposition dans les cas listés par l’article 21 du règlement. C’est notamment le cas lorsque ses données personnelles sont traitées à des fins de prospection commerciale.
Obligations
Le RGPD impose un nombre d’important de nouvelles obligations pour les responsables de traitements de données. En plus des obligations visant à permettre aux personnes d’exercer leurs nouveaux droits (voir ci-dessus), le texte prévoit également des règles en matière de sécurisation des données. Il impose en outre la désignation d’un délégué à la protection des données (DPO), qui sera amené à tenir un rôle de plus en plus important dans les mois et années à venir.
Protection et sécurité
Le responsable du traitement des données doit respecter un certain nombre d’obligations en matière de protection et de sécurisation des données qu’il traite. Ses obligations figurent au chapitre IV du RGPD. Dans ce cadre, ses représentants doivent notamment coopérer avec la CNIL.
En cas de vol de données personnelles (exemple : lorsque l’entreprise s’est faite piratée), l’entreprise doit notamment avertir les utilisateurs dès lors que cette violation engendre un risque important pour les droits et les libertés et que ces données volées ne sont pas protégées par la cryptographie.
DPO
L’article 37 du RGPD prévoit l’obligation de nommer un délégué à la protection des données, appelé DPO : « Data Protection Officer ». Il est principalement chargé du bon respect, par l’organisme pour lequel il travaille, de la réglementation applicable à la protection des données. Voir ainsi DPO : définition et obligations.
Contrôle de la CNIL
Pour les données les moins sensibles, les formalités préalables auxquelles sont actuellement soumis les organismes de traitement de données vont être réduites. D’un système de contrôle a priori de la CNIL (avec des déclarations et des autorisations préalables), la réglementation passera à un système de contrôle a posteriori.
Sanctions de la CNIL
Le règlement étend le pouvoir de sanction de la CNIL. Celle-ci pourra désormais infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise concernée.