Guide pour débutants sur la conformité au GDPR (2022)

Table des matières

Qu'est-ce que le GDPR ?

Vous avez probablement déjà entendu le terme GDPR. Jusqu’au 25 mai 2018, les lignes directrices entourant les informations personnelles, en lien avec la vie privée, étaient un peu floues. La directive sur la protection des données (1995) a fourni quelques lignes directrices de base, mais ce n’était tout simplement pas suffisant.

Nous nous sommes toujours intéressés de près au GDPR, car de nombreux VPN que nous avons examinés ont dû apporter de sérieux changements à leur mode de fonctionnement, notamment certains des principaux acteurs comme Avast et NordVPN.

Le suivi et le partage des informations sont désormais couverts par le règlement général sur la protection des données (RGPD ). L’objectif est de faire en sorte que les informations soient traitées de manière responsable, par toute entreprise qui traite des informations personnelles et de la vie privée.

Selon l’ICO, le GDPR énonce 7 principes clés. Ce sont :

  • Légalité, équité et transparence
  • Limitation de l’objet
  • Minimisation des données
  • Précision
  • Limitation du stockage
  • Intégrité et confidentialité (sécurité)
  • Responsabilité

Les principes énoncés ne sont pas des règles en tant que telles, mais plutôt un aperçu des principes fondamentaux à suivre pour créer de bonnes pratiques en matière de protection des données. Les personnes ou les entreprises qui ne respectent pas ces principes s’exposent à une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total (le montant le plus élevé étant retenu).

Qu'y avait-il avant le GDPR ?

Le GDPR est appliqué dans toute l’Europe, chaque pays ayant son propre degré de contrôle sur certains aspects du règlement. Le Royaume-Uni a mis en œuvre la loi sur la protection des données (2018) qui remplace la loi sur la protection des données de 1998.

La nouvelle loi a été adoptée par la Chambre des communes et la Chambre des lords peu avant l’entrée en vigueur du GDPR.

Impact sur les entreprises

Que vous soyez un particulier, une organisation ou une entreprise, vous pouvez être considéré comme un “contrôleur” ou un “processeur” de données à caractère personnel. L’Information Commissioners Officer (ICO ) décrit exactement la différence entre les contrôleurs et les processeurs.

Les entreprises qui surveillent ou obtiennent des informations personnelles à grande échelle devraient employer un délégué à la protection des données (DPD). Le rôle de l’agent doit permettre de s’assurer que l’entreprise en question se conforme au GDPR. Toute question ou requête concernant la protection des données doit leur être adressée.

Le GDPR s’applique aux entreprises qui traitent les données personnelles des citoyens de l’UE. C’est le cas même pour les entreprises qui emploient moins de 250 personnes. Comme indiqué précédemment, toute violation susceptible d’avoir un impact sur les droits des personnes concernées doit être signalée à l’Information Commissioner’s Office (ICO).

Si possible, une violation doit être enregistrée et signalée dans un délai de 24 heures, ou de 72 heures au maximum. Les détails de la violation et la manière dont elle va être contenue et résolue doivent être exposés à l’ICO.

Le GDPR permettra aux individus de contrôler la manière dont les entreprises utilisent leurs données. Cela vaut également pour les entreprises qui disposent déjà de vos données. Par exemple, les personnes auront le “droit d’être oubliées”. Ainsi, si vous êtes un client et que vous ne voulez plus qu’une entreprise détienne vos données personnelles, vous avez le droit légal de retirer vos données.

Liste de contrôle utile pour les petites entreprises

Le GDPR est sans aucun doute déroutant et, à juste titre, assez stressant ! J’ai pensé qu’il serait pertinent de dresser une liste de contrôle pour les petites entreprises britanniques afin que vous sachiez à quoi vous attendre et ce que l’on attend de vous.

La liste de contrôle GDPR de votre petite entreprise doit prendre en compte les employés, les fournisseurs et les clients passés et présents. Elle doit également prendre en compte les données de toute personne que vous traitez, collectez, stockez ou enregistrez, et utilisez par tout moyen.

1| Comprendre vos données

Vous devrez comprendre et démontrer votre compréhension des types de données personnelles que vous et/ou votre entreprise détient. Par exemple, les noms, les adresses, les adresses IP, les coordonnées bancaires, etc. Il s’agit également de données sensibles telles que les opinions religieuses et les informations sur la santé. Vous devrez démontrer que vous comprenez d’où elles proviennent et comment vous utiliserez ces données.

2| Pensez au consentement

Votre entreprise a-t-elle besoin d’un consentement pour traiter des données personnelles ? Certaines techniques de marketing nécessitent un consentement, ce qui rend les choses beaucoup plus difficiles dans le cadre du GDPR. Le consentement doit être extrêmement clair et précis. Par conséquent, à moins que vous ne sachiez parfaitement ce que vous faites, il peut être utile d’éviter d’avoir recours au consentement, à moins qu’il ne soit crucial pour votre modèle commercial.

3| Envisager des mesures de sécurité

Vos mesures et politiques de sécurité en place doivent être mises à jour pour être conformes au GDPR. De plus, si vous n’en avez pas déjà, vous devriez en obtenir assez rapidement ! Bien qu’il existe des exigences plus spécifiques en matière de sécurité, vous pouvez, à titre de précaution générale, utiliser le cryptage.

4| Droits d’accès des sujets

Les personnes ont le droit d’accéder à leurs données personnelles. Vous devrez vous assurer que votre entreprise est prête à fournir ces informations dans un délai court si nécessaire. Les personnes peuvent souhaiter obtenir leurs données personnelles afin de rectifier tout problème, simplement pour les avoir, ou elles peuvent souhaiter les effacer complètement. Toutes les demandes sont assorties d’un délai d’un mois.

5| Former les employés

Les employés de votre entreprise doivent être formés aux données personnelles. Ils devront comprendre ce qui constitue des données personnelles, ainsi que les processus permettant d’identifier toute violation de données. Les employés doivent savoir qui est votre délégué à la protection des données (DPD), ainsi que toute équipe ou personne liée ou responsable de la conformité à la protection des données.

6| Chaîne d’approvisionnement

Tous les fournisseurs et sous-traitants de votre entreprise doivent être conformes au GDPR. Cela permet de s’assurer qu’ils ne vont pas commettre d’infractions et vous faire payer les pénalités ou les amendes. Vous devrez également vous assurer que les contrats conclus avec vos fournisseurs sont mis à jour, veillez donc à en obtenir une copie.

7| Traitement équitable

Dans le cadre du GDPR, vous devez désormais être en mesure d’expliquer aux individus à quelles fins vous utilisez leurs données personnelles. Cela ne devrait pas être une tâche difficile ni une source d’inquiétude si vous utilisez leurs données de manière équitable et correcte.

8| Délégué à la protection des données

Il est temps de décider si vous devez employer un DPD ou non. Les petites entreprises sont susceptibles d’être exemptées, mais les grandes entreprises peuvent ne pas l’être. Cela vaut la peine de le vérifier pour s’assurer que vous n’êtes pas en infraction avec les règles du GDPR.

Définir le consentement

En tant que particulier, vous connaissez peut-être les cases pré-cochées lorsque vous vous inscrivez à des comptes en ligne, achetez des produits, vous inscrivez à des bulletins d’information, etc. Ces cases étaient souvent pré-cochées et quelque peu cachées, permettant aux entreprises d’accéder à vos données personnelles. Fini le temps où l’on était bombardé de courriels de marketing non désirés et d’appels téléphoniques aléatoires.

Le consentement a été redéfini dans le cadre des nouvelles règles du GDPR. L’époque des petits caractères et des messages cachés où les personnes s’inscrivaient “accidentellement” ou involontairement à des courriels ou à des textes de marketing est révolue. Les politiques doivent être rendues très claires maintenant et être présentées de cette manière.

Les règles relatives aux données personnelles préexistantes sont un peu différentes. Il se peut que vous n’ayez pas besoin de consentement pour cela, mais il doit y avoir une base juridique conforme à la loi sur la protection des données (DPA). L’essentiel ici est de se rappeler que ces législations s’appliquent aux entreprises et aux consommateurs !

Droit d'accès

Le droit d’accès (ou droit de regard) permet à un individu d’obtenir ses propres données personnelles. Le droit d’accès donne aux personnes la possibilité de comprendre comment leurs données sont utilisées et pourquoi elles sont utilisées de cette manière. Cela garantit que leurs données sont utilisées de manière légale.

Les particuliers ont le droit d’obtenir certaines informations auprès des entreprises, notamment :

  • une copie des données personnelles d’une personne
  • la confirmation que les données à caractère personnel d’une personne sont traitées
  • des informations supplémentaires (correspondant principalement aux informations fournies dans un avis de confidentialité)

Un individu, comme nous le savons, a droit à ses propres données personnelles. En revanche, ils n’ont pas le droit d’obtenir des informations sur d’autres personnes. En revanche, si les informations qu’ils essaient d’obtenir les concernent ainsi que quelqu’un d’autre, c’est acceptable.

En tant qu’individu, il est recommandé de vérifier si les informations que vous demandez sont définies comme des données personnelles ou non. Vous pouvez vérifier ce qui est considéré comme des données personnelles (pour être sûr) ici.

Suis-je un contrôleur de données ou un processeur de données ?

Le GDPR s’applique aux contrôleurs de données et aux processeurs de données, mais qu’est-ce que cela signifie réellement ? Les traitements de données font référence aux opérations effectuées sur les données, donc lorsque les données sont stockées, collectées, enregistrées, partagées, etc. Les responsables du traitement des données sont également des sous-traitants des données, à la différence qu’ils décident de la finalité ou de la raison du traitement des activités liées aux données.

Processeurs de données

En tant que responsable du traitement des données, le GDPR vous impose des obligations légales :

  • Conserver et tenir à jour les dossiers de données personnelles. Il s’agit notamment de décrire en détail les activités de traitement et les catégories de personnes concernées. Les catégories font référence aux clients, aux employés, aux fournisseurs, et aux types de traitement – transfert, réception, divulgation, etc.
  • Conserver et maintenir les détails des transferts vers des pays situés en dehors de l’Espace économique européen (EEE).
  • Mettre en œuvre et maintenir des mesures de sécurité appropriées, par exemple le cryptage.

Si une entreprise de traitement des données est responsable d’une violation des données, sa responsabilité juridique sera beaucoup plus lourde que celle de l’autorité de protection des données. Les particuliers peuvent déposer une plainte directe contre le responsable du traitement des données, il est donc impératif que vous compreniez vos responsabilités en tant que tel.

Contrôleurs de données

En tant que responsable du traitement des données, vous êtes aussi, par nature, un responsable du traitement des données. Les mêmes exigences du GDPR s’appliquent donc. Cependant, les obligations liées au GDPR vous incombent, ainsi qu’à votre entreprise, afin de garantir la conformité des contrats avec les sous-traitants et le respect des normes.