Que signifie le RGPD pour la collecte de données?

Vous connaissez probablement déjà le règlement général de la protection des données (RGPD) qui est en vigueur dans l’Union européenne depuis le 25 mai 2018.

Le RGPD vise à lutter contre le nombre croissant de failles de sécurité, de piratage et de vol de données qui sont devenus monnaie courante sur Internet aujourd’hui.
Les consommateurs en ligne et les internautes en général sont de plus en plus conscients de la valeur que leurs données peuvent avoir pour les pirates ainsi que pour les entreprises. En conséquence, la demande pour plus de transparence et de réactivité de la part des entreprises qui collectent et stockent les données personnelles des utilisateurs, est devenue de plus en plus répandue.

Qu’est-ce que le RGPD?

Le RGPD vise à remplacer une directive européenne plus ancienne, qui date de 1995 et qui a été adoptée avant l’émergence des réseaux sociaux, des mégadonnées, de l’informatique en nuage et de l’Internet des objets. La directive est une «loi sur la vie privée» qui a été transposée en droit belge le 8 décembre 1992 et traitait de la protection de la vie privée en termes de collecte de données personnelles ainsi que de méthodes et d’outils de traitement.

Le RGPD a été conçu pour normaliser la législation sur la protection des données dans toute l’UE (Union européenne) et imposer de nouvelles règles plus strictes sur la manière dont les informations personnelles identifiables (IPI) sont collectées, traitées et stockées.

Qu’est-ce que les IPI (informations personnellement identifiables)?

Les informations personnelles identifiables sont des informations relatives aux éléments suivants dans le cadre du RGPD:

  • Orientation sexuelle
  • Opinions publiques
  • Race ou origine ethnique
  • Santé
  • Données Web (cookies et adresse IP)
  • Informations d’identification personnelle (nom, prénom, adresse, etc.)

Confidentialité des données au Canada

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui est l’équivalent canadien du RGPD, définit les données personnelles comme «toute information pouvant être utilisée pour identifier une personne». Le règlement comprend les types de données suivants:

  • Âge, nom, numéros d’identification, revenu, origine ethnique, groupe sanguin
  • Opinions, évaluations, commentaires, statut social ou mesures disciplinaires
  • Les dossiers des employés, les dossiers de crédit, les dossiers de prêt, les dossiers médicaux, l’existence de différends entre les clients et les fournisseurs, les intentions (par exemple, d’acquérir des biens ou des services, ou de changer d’emploi).

Réglementation sur la confidentialité des données aux États-Unis

Bien qu’il existe un certain nombre de règles étatiques et fédérales relatives à la confidentialité et à la protection des données aux États-Unis, il n’y a actuellement pas d’équivalent au RGPD, ni une autorité centrale qui applique ses propres réglementations.

À qui s’applique le RGPD?

Au niveau territorial, le RGPD s’applique à toutes les entreprises engagées dans la collecte, le traitement et le stockage de données à caractère personnel concernant des personnes dans l’UE.

À l’origine, le RGPD ne s’appliquait qu’aux personnes dans l’Union européenne. Cependant, le règlement stipule désormais que toutes les entreprises qui proposent des biens ou des services à des personnes situées dans l’UE (y compris des services et produits gratuits) ou qui suivent leur comportement (par exemple, les plateformes de réseaux sociaux, les applications de collecte de données, les applications d’inspection, etc.) doivent se conformer au RGPD.
Cela signifie que même les géants de la technologie, tels que Google, Amazon et Facebook, sont désormais obligés de se conformer au RGPD dans la mesure où ils collectent, traitent ou stockent des informations relatives à des personnes dans l’UE.

Que doivent faire les entreprises pour se conformer au RGPD?

Transparence

Le RGPD est basé sur le principe de transparence. Lorsque les entreprises collectent, traitent ou stockent des données personnelles, elles sont tenues de le faire de manière transparente. En pratique, cela signifie que toutes les personnes concernées doivent être informées dans un langage clair et compréhensible.

Les entreprises doivent préciser quels types de données sont collectées sur les utilisateurs, à quelles fins les données collectées sont utilisées, combien de temps elles seront stockées, avec qui elles seront (ou pourraient) être partagées et quels sont les droits des utilisateurs concernant leurs données.
Tout ce qui précède doit être divulgué dans un document sur le site Web de la société en question.

Consentement

Le simple fait d’informer les clients n’est plus adéquat selon les nouvelles dispositions du RGPD. Il est désormais nécessaire d’obtenir le consentement des utilisateurs avant que le traitement et le stockage de leurs données personnelles puissent avoir lieu légalement.

Garantir la sécurité et la légalité du traitement des données

Les entreprises collectant des données personnelles doivent s’assurer que des mesures techniques et organisationnelles ont été mises en place pour sécuriser ces données.

Respect des obligations particulières d’information des clients en cas de violation de données

En cas de violation de données, les entreprises qui ont stocké les données des clients doivent informer tous leurs clients d’une telle violation de données, si la violation présente un risque significatif («risque élevé») pour la vie privée de leurs clients.

Le RGPD renforce la responsabilité des entreprises

Le RGPD a intégré deux nouveaux concepts dans son champ d’application:

Confidentialité dès la conception

Le premier nouveau concept du RGPD vise à garantir la protection des données dès la conception. Cela signifie que les entreprises qui ont l’intention de collecter et de traiter des informations client doivent tenir compte de la confidentialité de leurs clients lors de la conception de nouveaux produits ou services. Il est donc nécessaire pour les entreprises de développer des produits ou services qui respectent la vie privée de leurs clients.

Confidentialité par défaut

Le deuxième concept vise à assurer la protection des données par défaut. Cela signifie que les entreprises doivent également veiller de manière proactive à ce que la vie privée de leurs clients soit respectée et préservée. En d’autres termes, la confidentialité des données des clients doit être assurée par les entreprises sans que les clients n’aient à en faire la demande. Un exemple de la façon dont les entreprises devraient le mettre en œuvre est en configurant leurs sites Web pour qu’ils soient aussi «respectueux de la vie privée» que possible.

Les données des clients sont-elles autorisées à quitter l’UE?

Oui. Les données peuvent être transférées vers d’autres pays pour autant que ces derniers offrent un niveau de protection des données suffisant. Le niveau de protection des données nécessaire pour que ces pays soient autorisés à être les destinataires de données obtenues auprès de personnes dans l’UE doit être équivalent à celui du RGPD.

Quels sont les droits des clients en vertu du RGPD?

Voici les droits dont disposent les clients en vertu du RGPD:

  1. Droit d’accès
    Les clients et utilisateurs ont le droit de demander, à tout moment, si leurs données ont été collectées.
  2. Droit de rectification
    Des données fausses ou incomplètes doivent pouvoir être corrigées ou complétées à tout moment à la demande des clients et des utilisateurs.
  3. Droit de limitation du traitement
    Dans certaines circonstances, les clients et utilisateurs ont le droit de demander la limitation du traitement de leurs données.
  4. Droit à l’effacement des données (ou «droit à l’oubli»)
    En vertu du RGPD, dans certains cas, les utilisateurs et les clients ont également le droit d’exiger que leurs données soient effacées.

Quelle est la sanction du non-respect du RGPD pour les entreprises?

La sanction que les entreprises qui collectent, traitent ou stockent les informations de particuliers dans l’UE sont susceptibles d’être encourues si elles ne se conforment pas au RGPD, est de 2% du chiffre d’affaires mondial des entreprises. Dans certains cas, cela peut s’élever à des millions d’euros.

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *