Le règlement général de l'UE sur la protection des données (RGPD) entrera en vigueur le 25 mai de cette année. Juste au cas où vous ne seriez pas un grand lecteur (je ne le suis pas non plus), nous avons décidé de créer cette version « CliffsNotes » pour vous aider à vous préparer au prochain règlement. Pour ceux d'entre vous qui souhaitent toujours lire le texte intégral du RGPD, il est juste que je vous prévienne qu'il contient beaucoup de jargon juridique et de jargon déroutant. Donc, pour vous aider, nous avons inclus un glossaire rapide à la fin de cet article pour mieux vous aider à comprendre les termes et les concepts qu'il contient.

GDPR – Version « CliffsNotes »

Le RGPD est un cadre juridique qui définit des lignes directrices pour la collecte et le traitement des informations personnelles des individus au sein de l'Union européenne (UE). Il normalise la législation sur la protection des données dans les 28 pays de l'UE (et ceux qui collectent des données auprès de ses membres) et impose de nouvelles règles strictes sur le contrôle et le traitement des informations personnellement identifiables. Selon la Commission européenne, « une donnée à caractère personnel est toute information relative à un individu, qu'elle se rapporte à sa vie privée, professionnelle ou publique. Il peut s'agir d'un nom, d'une adresse personnelle, d'une photo, d'une adresse e-mail, de coordonnées bancaires, de publications sur des sites de réseaux sociaux, d'informations médicales ou de l'adresse IP d'un ordinateur. Le RGPD est composé d'un certain nombre de principes clés, dont quelques-uns sont décrits ci-dessous :

Base légale du traitement

Les données ne peuvent être traitées que s'il existe au moins une base légale pour le faire :

• La personne concernée a donné son consentement au traitement des données personnelles pour une ou plusieurs finalités spécifiques.
• Le traitement est nécessaire pour l'exécution d'un contrat auquel la personne concernée est partie ou pour prendre des mesures à la demande de la personne concernée avant de conclure un contrat.
• Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis.
• Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique.
• Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
• Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ces intérêts ne prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent la protection des données à caractère personnel, en particulier si les données le sujet est un enfant.

Consentement

« Le consentement doit être clair et distinct des autres questions et fourni sous une forme intelligible et facilement accessible, en utilisant un langage clair et simple. » Cela signifie que vos clients ne peuvent pas être forcés à donner leur consentement ou ignorer qu'ils acceptent le traitement de leurs données personnelles. Ils doivent également être informés à l'avance de leur droit de retirer leur consentement et savoir exactement à quoi ils consentent lorsqu'ils le donnent.

Droit d'accès, portabilité des données et droit d'effacement

Après la collecte, gardez un dossier et soyez en mesure de prouver que le consentement a été donné et pourquoi il a été donné. Vous devez savoir (et avoir écrit un enregistrement) quelles données sont collectées, comment elles sont utilisées, où elles sont stockées, qui y a accès et pendant combien de temps elles sont nécessaires. N'utilisez pas ces données pour toute autre raison que celle indiquée au moment de la collecte.

• Droit d'accès - donner à la personne concernée la possibilité de mettre à jour ses informations ou de mettre en place une procédure pour traiter les demandes de mise à jour des informations
• Portabilité des données - être en mesure de fournir à la personne concernée une copie de toutes les données dans un format commun
• Droit à l'oubli - soyez prêt à traiter les demandes des personnes concernées pour supprimer toutes les données et ayez un processus en place pour le faire dans un délai de 30 jours

Signaler des violations de données

Le RGPD contient également une nouvelle exigence selon laquelle le responsable du traitement est légalement tenu d'informer l'autorité de contrôle (le DPC) d'une violation de données personnelles dans les 72 heures suivant sa connaissance, à moins que les données n'aient été rendues anonymes ou cryptées. En outre, si la violation est susceptible de porter préjudice à la personne concernée, elle doit également être signalée aux personnes concernées dans le même délai.

Confidentialité dès la conception et DPIA

Les entreprises développant de nouveaux systèmes devront intégrer la protection des données dans le développement de processus commerciaux pour les produits et services. Les paramètres de confidentialité doivent être définis à un niveau élevé par défaut et des mesures doivent être prises par le responsable du traitement pour s'assurer que le traitement des données est conforme à la réglementation tout au long du cycle de vie du produit ou du service.

Vous ne savez pas si votre site Web ou vos initiatives marketing seraient à la hauteur ? Nous sommes heureux de discuter pour examiner votre situation actuelle et fournir des commentaires sur ce dont vous devez vous conformer.

Glossaire GPR rapide

Sujet des données : une personne qui vit dans l'UE.

Données personnelles : toute information relative à une personne concernée identifiée/identifiable (nom, numéro d'identification national, adresse, adresse IP, etc.)

Contrôleur : une entreprise ou une organisation qui collecte les données personnelles des personnes et prend des décisions sur ce qu'il faut en faire. Exemple - l'entreprise, vous en tant que spécialiste du marketing, travaillez pour

Sous-traitant : une entreprise ou une organisation qui aide un responsable du traitement en « traitant » des données sur la base de ses instructions, mais ne décide pas quoi faire avec les données. Exemple – Google via Google Analytics

Traitement de données : Toute opération ou ensemble d'opérations qui est effectué sur des données personnelles ou sur des ensembles de données personnelles, par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, divulgation par transmission, diffusion ou mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.

Délégué à la protection des données (DPO) : un représentant d'un contrôleur/sous-traitant qui supervise la conformité au RGPD et est un expert en matière de confidentialité des données.

Évaluation de l'impact sur la confidentialité des données (DPIA) : une évaluation documentée de l'utilité, des risques et des options d'atténuation des risques pour un certain type de traitement.

Autorité de surveillance : Anciennement appelée « autorités de protection des données » ; une ou plusieurs agences gouvernementales dans un État membre qui supervisent l'application de la confidentialité des données de ce pays (par exemple, le bureau irlandais du commissaire à la protection des données, les 18 autorités nationales/régionales allemandes).