Le Règlement Général sur la Protection des Données ou RGPD est le nouveau texte de référence Européen en matière de protection des données personnelles. Il s’applique à toute organisation traitant les données personnelles de citoyens européens, qu’elle soit établie ou non dans l’UE. Il vise à encadrer et protéger les données personnelles.
Adopté le 24 mai 2016, le RGPD est entré en application 2 ans plus tard, le 25 mai 2018 (art. 99 RGPD).
En France, on parle de RGPD (Règlement général sur la protection des données)
En anglais, GDPR (General Data Protection Regulation)
En allemand, DSGVO (Datenschutz-Grundverordnung)
Le RGPD s’applique à toutes les entreprises présentes dans l’Union européenne, les administrations et les associations, qui traitent des données à caractère personnel.
Le RGPD prévoit une application extraterritoriale, s’appliquant donc également à la Suisse, lorsque des données de personnes qui se trouvent sur le territoire de l’UE sont traitées, et que les activités de traitement sont liées soit à l’offre de biens ou de services à ces personnes dans l’UE (indépendamment de l’exigence d’un paiement), soit au suivi du comportement de ces personnes au sein de l’UE (profilage). Les données internes sont aussi concernées (liste d’employés…)
Une donnée à caractère personnel concerne toutes les informations qui se rapportent à une personne physique identifiée ou identifiable:
Certaines données personnelles peuvent être à caractère sensible:
En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
En France, l’autorité de contrôle compétente est la Cnil. D’autre part, il est nécessaire également d’avertir les personnes dont les données ont été piratées, si la fuite peut engendrer un risque pour leurs droits et libertés (données sensibles).
Désignation d’un délégué à la protection des données (Data Protection Officer – DPO) avec des tâches bien définies (conformité, documentation, reporting, liaison avec l’autorité de contrôle, analyses d’impact des traitements sur les données…) obligatoire pour :
Tout individu dont les données ont été collectées peut exiger de les récupérer dans un format structuré, couramment utilisé et lisible par une machine et ceci en vue, par exemple, de pouvoir les transmettre à une autre entité de son choix.
Tout individu dont les données ont été collectées peut demander leur suppression. Cette demande devra être traitée « dans les meilleurs délais» et sous 1 mois maximum à compter de la réception de la demande (article 12)
Il est nécessaire de demander le consentement de manière explicite à l’internaute pour la collecte et/ou le traitement de ses données personnelles. Ceci est valable pour tous les services.
Les amendes en cas de violations peuvent s’élever jusqu’à EUR 10’000’000.- (ou dans le cas d’une entreprise jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu). Pour les violations les plus graves ou en cas de non-respect d’une injonction émise par l’autorité de contrôle (en vertu de l’art. 58 par. 2 RGPD), l’amende pourra s’élever jusqu’à EUR 20’000’000.- ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. D’autres sanctions sont
Les dommages sur la réputation de l’entreprise doivent aussi être pris en compte.
La Loi sur la Protection des Données (LPD) est en cours de révision. Il semble qu’elle s’alignera sur le niveau de protection garanti par le règlement européen.
Document PDF très complet édité par le Préposé fédéral à la protection des données et à la transparence PFPDT “Le RGPD de l’UE et ses conséquences sur la Suisse”
CNIL (France): Comprendre le règlement européen https://www.cnil.fr/fr/comprendre-le-reglement-europeen
CNIL (France): Règlement européen : se préparer en 6 étapes https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
Cours en ligne sur le RGPD proposé parla fédération romande des entreprises (Suisse)
Logiciel PIA (Privacy Impact Assessment) qui vise à faciliter la conduite et la formalisation d’analyses d’impact sur la protection des données (France): https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
Un joli résumé de la Commision européenne: http://ec.europa.eu/justice/smedataprotect/index_fr.htm
Lister toutes les extensions qui pourraient récolter ou traiter des données utilisateurs
Mettre en conformité tous les formulaires, demande de devis…
Mettre en conformité la/les demandes d’inscription à une/des newsletter(s)
Mettre en conformité la/les future(s) newsletters
Mettre en conformité les commentaires/avis sur des articles de blog, produits vendus en ligne dans le cas d’un e-shop WooCommerce
Cookies: informer les internautes de la finalité des cookies, obtenir leur consentement (la durée de validité de ce consentement est au maximum de 13 mois). L’internaute doit pouvoir également les refuser, dans ce cas ils ne devront pas être activés.
L’internaute doit pouvoir demander la suppression ou la modification de ses données personnelles.
Mettre WooCommerce en conformité.
…
Je vous recommande de prendre contact avec un avocat si votre entreprise est concernée par la nouvelle règlementation et que vous n’êtes pas encore au clair.
Je peux également vous proposer mon aide pour la mise en conformité de votre site WordPress.