En France, on parle de RGPD (Règlement général sur la protection des données)

En anglais, GDPR (General Data Protection Regulation)

En allemand, DSGVO (Datenschutz-Grundverordnung)

Le RGPD s’applique à toutes les entreprises présentes dans l’Union européenne, les administrations et les associations, qui traitent des données à caractère personnel.

Le RGPD prévoit une application extraterritoriale, s’appliquant donc également à la Suisse, lorsque des données de personnes qui se trouvent sur le territoire de l’UE sont traitées, et que les activités de traitement sont liées soit à l’offre de biens ou de services à ces personnes dans l’UE (indépendamment de l’exigence d’un paiement), soit au suivi du comportement de ces personnes au sein de l’UE (profilage). Les données internes sont aussi concernées (liste d’employés…)

Qu’elle se situe dans l’Union européenne ou pas, toute entreprise est concernée, à partir du moment où elle adresse ses offres de biens et de services à des citoyens européens, ou à partir du moment ou elle utilise des méthodes de suivi et d’analyse du comportement de consommateurs européens.

Une donnée à caractère personnel concerne toutes les informations qui se rapportent à une personne physique identifiée ou identifiable:

• nom
• prénom
• adresse
• numéro de téléphone
• e-mail
• date de naissance
• numéro de téléphone
• IBAN
• Adresse IP
• …

Certaines données personnelles peuvent être à caractère sensible:

• Opinion politique
• Orientation sexuelle
• Régime alimentaire lié à une religion
• Situation médicale
• …

Obligation de notification

En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
En France, l’autorité de contrôle compétente est la Cnil. D’autre part, il est nécessaire également d’avertir les personnes dont les données ont été piratées, si la fuite peut engendrer un risque pour leurs droits et libertés (données sensibles).

Data Protection Officer – DPO

Désignation d’un délégué à la protection des données (Data Protection Officer – DPO) avec des tâches bien définies (conformité, documentation, reporting, liaison avec l’autorité de contrôle, analyses d’impact des traitements sur les données…) obligatoire pour :

• les organismes publics
• les organismes manipulant des données « à grande échelle »
• les organismes qui manipulent des données sensibles (santé, juridique…)

Droit à la portabilité des données

Tout individu dont les données ont été collectées peut exiger de les récupérer dans un format structuré, couramment utilisé et lisible par une machine  et ceci en vue, par exemple, de pouvoir les transmettre à une autre entité de son choix.

Droit à l’effacement des données

Tout individu dont les données ont été collectées peut demander leur suppression. Cette demande devra être traitée « dans les meilleurs délais» et sous 1 mois maximum à compter de la réception de la demande (article 12)

Consentement explicite

Il est nécessaire de demander le consentement de manière explicite à l’internaute pour la collecte et/ou le traitement de ses données personnelles. Ceci est valable pour tous les services.

Et pour consulter le règlement dans son entier, c’est ici 🙂

Avant de déposer ou lire un cookie il faut :

• informer les internautes de la finalité des cookies
• obtenir leur consentement
• fournir aux internautes un moyen de les refuser.

Si l’internaute ne fait aucun choix (pas d’acceptation ou de refus des cookies), cette absence de choix doit être interprétée comme un refus.

La durée de validité de ce consentement est de 13 mois maximum.

Certains cookies sont cependant dispensés du recueil de ce consentement (https://www.cnil.fr/fr/cookies-comment-mettre-mon-site-web-en-conformite):

• les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
• les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
• les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s) ;
• les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
• les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
• les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
  certains traceurs de mesure d’audience dès lors qu’ils respectent certaines conditions.

Le RGPD ne s’applique pas seulement aux données collectées après le 25 mai 2018, mais à toutes les données à caractère personnel, également celles qui auront été collectées avant.

Le double opt-in est obligatoire. La demande d’inscription doit être suivie d’un email de confirmation avec un lien de validation cliquable. Sans validation, l’inscription à la newsletter ne doit pas se faire.

L’opt-in, c’est quoi?

• Opt-out actif : l’internaute doit agir volontairement, par exemple en cochant une case, pour ne pas être inscrit. S’il ne fait rien, il est inscrit par défaut.
• Opt-out passif: l’internaute est automatiquement inscrit sans aucune intervention de sa part. La désinscription ne peut se faire qu’après l’inscription. L’accord de l’internaute est demandée à posteriori.
• L’opt-in passif : une case était pré-cochée, l’internaute s’est inscrit peut-être sans s’en être rendu compte.
• L’opt-in actif : l’internaute doit effectuer une action pour s’inscrire, comme remplir un formulaire d’inscription ou cocher une case lui-même.
• Le double opt-in : l’internaute doit effectuer une action pour s’inscrire, comme remplir un formulaire d’inscription ou cocher une case lui-même. Puis il doit valider son inscription en cliquant sur un lien envoyé par e-mail, ceci pour être sûr que l’adresse e-mail est bien la sienne.

Il est nécessaire d’inclure un lien de désabonnement dans chaque newsletter où l’abonné peut :

• Se désabonner de la newsletter
• Demandé à être complètement supprimé de votre fichier d’adresses et ne plus recevoir aucune communication de votre part
• Vous contacter

Les amendes en cas de violations peuvent s’élever jusqu’à EUR 10’000’000.- (ou dans le cas d’une entreprise jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu). Pour les violations les plus graves ou en cas de non-respect d’une injonction émise par l’autorité de contrôle (en vertu de l’art. 58 par. 2 RGPD), l’amende pourra s’élever jusqu’à EUR 20’000’000.- ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. D’autres sanctions sont

Les dommages sur la réputation de l’entreprise doivent aussi être pris en compte.

Je vous conseille, dans la mesure de vos possibilités, de tout mettre en oeuvre pour être en confirmité avec le RGPD.

Mais je pense qu’il ne faut pas paniquer. La sévérité des sanctions dépendra de nombreux critères. La nature, la gravité et la durée de la violation seront évalués. Le RGPD prévoit une progressivité des sanctions, en premier lieu un avertissement.

La Loi sur la Protection des Données (LPD) est en cours de révision. Il semble qu’elle s’alignera sur le niveau de protection garanti par le règlement européen.

Document PDF très complet édité par le Préposé fédéral à la protection des données et à la transparence PFPDT “Le RGPD de l’UE et ses conséquences sur la Suisse”

CNIL (France): Comprendre le règlement européen https://www.cnil.fr/fr/comprendre-le-reglement-europeen

CNIL (France): Règlement européen : se préparer en 6 étapes https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

Cours en ligne sur le RGPD proposé parla fédération romande des entreprises (Suisse)

Logiciel PIA (Privacy Impact Assessment) qui vise à faciliter la conduite et la formalisation d’analyses d’impact sur la protection des données (France):  https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

Un joli résumé de la Commision européenne: http://ec.europa.eu/justice/smedataprotect/index_fr.htm