Le RGPD pour les nuls

RGPD

Que signifie RGPD ?

RGPD signifie Règlement Général sur la Protection des Données. Il s’agit d’une loi de l’Union européenne (UE) entrée en vigueur le 25 mai 2018. Le RGPD régit la manière dont nous pouvons utiliser, traiter et stocker les données personnelles (informations sur une personne vivante identifiable). Elle s’applique à toutes les organisations au sein de l’Union Européenne, ainsi qu’à celles qui fournissent des biens ou des services à l’UE.

Par conséquent, il est essentiel que les entreprises et les organisations comprennent explicitement ce que signifie le RGPD. C’est la force législative établie pour protéger les droits fondamentaux des personnes concernées dont les informations personnelles et les données sensibles sont stockées dans les organisations. Les personnes concernées auront désormais le droit d’exiger l’accès des personnes concernées à leurs informations personnelles et le droit d’exiger qu’une organisation détruise leurs informations personnelles. Ces réglementations affecteront la plupart des secteurs au sein des entreprises, du marketing aux services de santé. Par conséquent, pour éviter les amendes paralysantes administrées par le Bureau du commissaire à l’information (ICO), il est essentiel de se conformer au RGPD.

Principes clés du RGPD :

  • Légalité, transparence et équité
  • Utiliser les données uniquement aux fins licites spécifiques pour lesquelles elles ont été obtenues, dont la plus clémente est l’intérêt légitime
  • Acquérir uniquement les données dont nous avons strictement besoin
  • S’assurer que toutes les données que nous possédons sont exactes
  • Limitation de stockage
  • Intégrité et confidentialité
  • Responsabilité

Pourquoi le RGPD est-il important ?

Le RGPD est important car il fournit un ensemble de règles auxquelles toutes les organisations de l’UE doivent adhérer, offrant ainsi aux entreprises des règles du jeu équitables et rendant le transfert de données entre les pays de l’UE plus rapide et plus transparent. Il habilite également les citoyens de l’UE en leur donnant plus de contrôle sur la manière dont leurs données personnelles sont utilisées.

Avant d’introduire les nouvelles législations GDPR, la Commission européenne a constaté que seulement 15 % des citoyens estimaient qu’ils avaient un contrôle total sur les informations qu’ils fournissaient en ligne. Avec une confiance aussi faible parmi le grand public, il est clair que les habitudes de consommation seront finalement affectées. Les mesures visant à rétablir cette confiance, grâce à l’introduction et à la mise en œuvre appropriée du RGPD, devraient augmenter le commerce.

La mise en œuvre approfondie des politiques de protection des données et la formation du personnel sont importantes, car la non-conformité pourrait entraîner une violation de données. Le Bureau du Commissaire à l’information (ICO) peut infliger des amendes allant jusqu’à 4 % de votre chiffre d’affaires annuel ou 20 millions d’euros, selon le montant le plus élevé, en cas de violation grave des données. La formation à la protection des données est une nécessité pour atténuer le risque de violation de données.

À qui s’applique le RGPD ?

Le Règlement général sur la protection des données (RGPD) régit la manière dont les données personnelles sont collectées et traitées dans l’Union européenne (UE). Les données personnelles sont définies comme toute information relative à une personne vivante identifiée ou identifiable. Le RGPD s’applique à toute personne ou organisation qui traite des données personnelles au sein de l’UE. Les pays en dehors de l’UE qui traitent des données personnelles sont connus sous le nom de « pays tiers » en vertu du RGPD. Ils peuvent avoir leur propre législation sur la protection des données, mais ils sont tenus de se conformer au RGPD dans les circonstances suivantes :

Lors de la fourniture de biens/services à l’UE
Lors du traitement de données sur les citoyens résidant au sein de l’UE

Les aspects clés du RGPD :

Le RGPD a remplacé la directive sur la protection des données de 1995, qui a établi des exigences minimales pour la protection des données dans L’Europe . Cette approche modérée de la protection des données, avant 2018, a conduit à une série de les violations de données et les scandales, permettant la compromission des informations personnelles des personnes concernées. Désormais, les changements mis en place dans le RGPD permettront une meilleure protection des droits fondamentaux des personnes concernées.

  • Compétence étendue : le RGPD s’applique désormais à toute organisation qui traite les données personnelles des personnes concernées qui se trouvent dans l’UE. Cela signifie que le RGPD s’applique aux grandes et petites organisations, à l’intérieur et à l’extérieur de l’UE.
  • Consentement : l’accent est mis strictement sur le consentement, il doit être précis et clair.
  • Droit d’accès : une personne concernée peut émettre une demande d’accès pour consulter ses informations personnelles, et une organisation doit s’y conformer.
  • Droit à l’oubli : une personne concernée peut exiger que ses informations personnelles soient détruites par un responsable du traitement.
  • Délégué à la protection des données : les contrôleurs de données doivent désormais avoir un DPD dans leur équipe, afin de garantir le respect des réglementations en matière de protection des données.
  • Pénalités : l’ICO peut désormais infliger des répercussions beaucoup plus sévères en cas de violation de données, notamment une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une organisation, selon le montant le plus élevé.

Pourquoi le RGPD était-il nécessaire ?

La société est désormais plus que jamais axée sur les données. Par conséquent, la grande quantité de données sensibles stockées sur les ordinateurs a entraîné une augmentation des cyberattaques et des violations de données.

E-mails d’hameçonnage

Le Phishing est l’un des principaux moyens par lesquels les cybercriminels peuvent infiltrer les informations personnelles utiliser des e-mails frauduleux et même modifier les coordonnées bancaires et les détails du compte. La nature commune de ce type de cyberattaque a maintenant rendu le RGPD essentiel pour éviter que cela ne se produise si souvent.

Les entreprises doivent être conscientes des e-mails susceptibles de contenir des virus afin de protéger le réseau informatique de leur entreprise. Si un virus parvient à s’infiltrer dans le disque dur d’une organisation, les informations personnelles des clients et des employés seront compromises et une violation de données se produira.

Les organisations doivent mettre en œuvre le cryptage des e-mails, afin que les informations personnelles incluses dans les e-mails ne puissent pas être infiltrées par des cyber-pirates. Un contrôleur de données peut utiliser une passerelle de messagerie sécurisée pour empêcher les e-mails contenant des logiciels malveillants, des attaques de phishing ou du spam d’atteindre une organisation. Par conséquent, pour être conforme au RGPD, une organisation doit organiser l’installation d’une passerelle de messagerie sécurisée pour surveiller ses e-mails.

Cookies et consentement de l’utilisateur final

Le RGPD a imposé un contrôle plus strict du consentement de l’utilisateur final lors du traitement des données personnelles. Le RGPD part du principe qu’une personne concernée doit être informée des processus qui seront utilisés pour stocker ses données personnelles. Par la suite, il appartiendra alors au responsable du traitement de mettre le traitement des données personnelles à la disposition de la personne concernée. L’utilisateur pourra alors mettre fin à son consentement, dès lors qu’il estime qu’un responsable de traitement n’a plus besoin de ses informations personnelles, ou qu’il peut y avoir atteinte aux informations personnelles.

Authentification à deux facteurs

L’article 32 du RGPD stipule qu’une organisation doit appliquer des mesures techniques pour protéger les informations personnelles, telles que l’authentification des messages à deux facteurs. Cette authentification de message à deux facteurs doit être appliquée aux systèmes qui traitent des informations personnelles, tels que les appareils mobiles qui doivent être cryptés.

Comment devenir conforme au RGPD

Pour devenir conforme au RGPD, vous devez d’abord comprendre les droits de l’individu accordés par la législation. Ils sont les suivants :

  • Droit d’être informé de la manière dont vos données sont traitées ;
  • Droit d’accès à ces données ;
  • Droit de rectification des données incorrectes ;
  • Droit d’effacement des données ;
  • Droit de restreindre le traitement des données personnelles ;
  • Droit à la portabilité des données : cela signifie qu’en tant qu’entreprise, vous devrez mettre en place un système permettant de compiler rapidement et facilement toutes les données personnelles que vous détenez sur un individu et de les rendre accessibles en toute sécurité ;
  • Droit de s’opposer au traitement de vos données ;
  • Droits relatifs à la prise de décision automatisée, y compris le traitement.

Les organisations doivent ensuite identifier leur rôle dans le flux de données, par ex. sont-ils un responsable du traitement ou un sous-traitant ? Les contrôleurs de données déterminent pourquoi les données personnelles seront utilisées et dans quel but. Les sous-traitants sont des individus ou des entreprises qui traitent des données personnelles pour le compte du responsable du traitement.

Alors que les contrôleurs de données ont conservé la responsabilité ultime de la protection de leurs données, les processeurs de données sont également tenus de se conformer au RGPD lors du traitement et du stockage des données personnelles. Les contrôleurs de données doivent rédiger un contrat écrit s’engageant à ce que leurs sous-traitants se conforment à leurs politiques de données et s’assurent qu’il est signé par tous les tiers.

Dans le cadre du RGPD, il est important d’identifier la base légale du traitement des données personnelles. Les raisons acceptables sont :

  • Consentement ;
  • Contrat ;
  • Obligation légale ;
  • Intérêts vitaux ;
  • Tâche publique ;
  • Intérêts légitimes.

Lors du traitement de données de catégorie spéciale, d’informations personnelles sensibles, les motifs pour lesquels elles peuvent être légalement utilisées diffèrent. Le traitement requiert à la fois une base légale et une condition de catégorie spéciale.

Le RGPD oblige certaines organisations à nommer un délégué à la protection des données (DPO). Un DPO est retiré des activités de traitement quotidiennes de votre organisation, mais est chargé de garantir la conformité au RGPD. Vous devez en désigner un si : vous êtes une autorité publique ; effectuer un suivi régulier à grande échelle des individus en tant qu’activité principale ; effectuer un traitement à grande échelle de données de catégorie spéciale ou d’informations sur les condamnations/infractions pénales en tant qu’activité principale.

Les entreprises doivent effectuer une évaluation de l’impact sur la protection des données (DPIA) si une activité de traitement est susceptible d’entraîner un risque élevé pour les individus. Ceci est destiné à identifier et à minimiser les risques pour les données personnelles des individus. L’évaluation des risques tient compte à la fois de la probabilité et de la gravité de l’impact du risque. Si, lors de la réalisation d’une DPIA, vous identifiez un risque élevé que vous ne pouvez pas atténuer, vous devez en informer l’ICO.

Le consentement est également plus strictement réglementé par le RGPD, ce qui signifie que les entreprises doivent se familiariser avec ces nouvelles exigences. Le consentement doit être donné librement, clair, spécifique, sans ambiguïté et indiqué par une action positive. Tout consentement que vous avez obtenu dans le passé doit également répondre à ces exigences et doit être obtenu à nouveau si ce n’est pas le cas.

Déclarer la conformité au RGPD ne suffit plus, il faut maintenant la démontrer. Vous êtes tenu de publier une politique de confidentialité pour informer vos personnes concernées de la manière dont leurs données personnelles seront utilisées. Vous devez également élaborer un plan en cas de violation de données, et désigner une personne en charge de la protection des données (DPO).

Pour conclure

Vous vous souciez de votre compatibilité RGPD ? BON’APP STUDIO a accompagné de nombreuses entreprises dans la mise en conformité RGPD de leur site internet. N’hésitez pas à nous contacter si besoin.

Comments are closed.