Dans le cadre de la mise en œuvre de la nouvelle législation européenne sur la protection des données personnelles (RGPD), plusieurs agences accompagnent les entreprises et institutions dans la création et la formalisation du registre des traitements de données personnelles, mais également dans son déploiement sur votre site internet, quelle que soit la technologie utilisée.
Le Règlement général sur la protection des données a été mis en place pour protéger les données personnelles des individus. Il établit certaines exigences visant à assurer la transparence des entreprises et offre aux utilisateurs des droits supplémentaires.
Outre le respect de la loi, la tenue du registre permet d’identifier, de comprendre et de gérer son patrimoine de données personnelles. Sa construction et sa mise à jour permettent de poser les bonnes questions et de réduire les risques liés au RGPD. Il s’agit donc d’une étape nécessaire à la mise en conformité avec le RGPD. Les traitements sont fréquemment identiques d’une société à l’autre (gestion des candidats, clients, prospects, etc.). Par conséquent, nous pouvons vous proposer un registre d’agence standard que nous avons réalisé et dans lequel vous pouvez reprendre et adapter les éléments qui peuvent également vous concerner.
Une fois la phase de registre terminée, il s’agit de mettre en pratique les principes et règles définis sur le site web. Ce règlement prévoit 5 points importants, qui sont expliqués plus en détail ci-dessous :
Sommaire
1/ Informer le public sur la collecte de données
Le RGPD vous oblige à informer explicitement les visiteurs de votre site internet de la collecte de données que vous effectuez : les données collectées, la finalité de la collecte et la durée de conservation.
Toute donnée permettant d’identifier directement ou indirectement un individu constitue une donnée personnelle. On distingue les données sensibles (origine raciale, opinions politiques, croyances religieuses, etc.) des données non sensibles.
L’utilisateur doit clairement comprendre les raisons de la collecte des données (par exemple, pour contacter l’entreprise ou traiter un achat en ligne), ce qui vous permet d’utiliser ces données, et la base légale au moment de la collecte des données. Vous devez également indiquer qui peut accéder aux données (services internes de l’entreprise, sous-traitants…), combien de temps les données seront conservées et si elles seront transférées vers des pays hors de l’Union européenne (si oui, indiquez le pays et le cadre juridique qui vous permet de maintenir le niveau de protection juridique).
Par ailleurs, vous êtes tenu de simplifier le processus par lequel l’utilisateur peut exercer ses droits, en lui indiquant par exemple comment il peut s’opposer à l’utilisation de ses données personnelles (en envoyant un e-mail, par courrier…).
2/ Obtention et recueil du consentement exprès
Le RGPD précise que ” le consentement doit être donné par un acte positif non équivoque par lequel la personne concernée manifeste volontairement, explicitement et sans ambiguïté son accord pour le traitement des données à caractère personnel la concernant, tel qu’une déclaration écrite, y compris par voie électronique, ou une déclaration orale “.
Une simple case cochée n’est pas acceptable pour exprimer le consentement de l’utilisateur, celui-ci doit être obtenu par un acte affirmatif. Le traitement n’est licite que si la personne concernée a consenti au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques.
Par ailleurs, le droit à l’oubli ou ” droit à l’effacement ” signifie que l’utilisateur d’un site internet doit disposer d’un droit permanent d’accès et de contrôle de ses propres données afin de demander l’effacement définitif de ses données personnelles collectées quand il le souhaite.
3/ Durée du consentement
L’internaute a le droit de retirer son accord pour la collecte de ses informations personnelles à tout moment. Dans le cas des cookies, l’autorisation ne peut être prolongée au-delà d’une période de 13 mois.
4/ Garantie de transfert des données personnelles
Il s’agit ici de sécuriser les échanges d’informations entre l’ordinateur d’un internaute et le site Internet d’une entreprise, d’une institution, ou potentiellement de leurs sous-traitants. Cela nécessite la mise en place d’un cryptage des données sous la forme d’un certificat TLS (SSL/HTTPS). Cela permet également de bénéficier d’une légère prime au référencement naturel sur Google, ce qui n’est pas négligeable dans un monde de plus en plus concurrentiel.
Le RGPD introduit la notion de responsabilité conjointe et solidaire, ce qui signifie que vous êtes responsable des données collectées par vous ou l’un de vos sous-traitants.
5/ Les mentions légales nécessaires sur votre site
Pour être en conformité avec le RGPD, les mentions légales de votre site internet doivent être modifiées pour répondre à un objectif de transparence. Vous devez dédier une page entière de votre site internet aux traitements de données spécifiés dans votre registre. Cette nouvelle page, généralement appelée ” Données personnelles “, éduque l’utilisateur sur la collecte de données du site en décrivant l’objectif, c’est-à-dire le but du registre. Elle explique également les types de données susceptibles d’être utilisées, la durée de conservation (voir point précédent), les droits dont disposent les visiteurs sur leurs données et les différentes méthodes d’application. Tout cela semble assez difficile, mais si l’enregistrement des données personnelles de l’entreprise est correctement rempli, la page est assez simple à exécuter.
Suivez ces étapes pour garantir la mise en place de vos avis de confidentialité.
Vous devez établir l’objectif du traitement de vos données personnelles, ainsi que la raison de la collecte des données. Selon l’article 13.1.c du règlement, “le responsable du traitement lui fournit, au moment de la collecte des données en question, l’ensemble des informations suivantes (…) les objectifs du traitement auquel les données à caractère personnel sont destinées, ainsi que la base juridique du traitement.”
Ensuite, précisez la base légale de votre traitement de données : autorisation individuelle, exécution d’un contrat ou d’une mesure précontractuelle, obligation légale, protection des intérêts vitaux d’une personne, mission d’intérêt public/de l’autorité publique, intérêts légitimes du responsable du traitement.
Ensuite, vous devez préciser à qui les données personnelles sont destinées. Le RGPD se distingue de la règle précédente en ce qu’il exige une identification exacte des destinataires ou groupes de destinataires autorisés à accéder aux données personnelles collectées (sous-traitants…). Le sous-traitant, selon le RGPD, est toute entité physique ou morale, autorité publique, service ou autre organisation qui traite des données personnelles pour le compte du responsable du traitement. Si vous collaborez avec des sous-traitants qui ont accès aux données personnelles que vous traitez, vous devez les nommer, décrire leur fonction et préciser si les données sont détenues à l’intérieur ou à l’extérieur de l’Union européenne.
Lorsque vous collectez des données personnelles sur votre site web, il est essentiel de déterminer la durée de conservation. Si la détermination de la durée n’est pas possible, vous devez décrire les critères utilisés pour la déterminer. Vous devez également préciser si les données que vous souhaitez collecter sont obligatoires ou non.
D’autres éléments obligatoires doivent être inclus, tels que l’identité et les coordonnées du responsable du traitement des données et, le cas échéant, de son représentant, les coordonnées du délégué à la protection des données (si vous en avez un), le droit de demander la rectification ou l’effacement des données personnelles d’un utilisateur ou de s’opposer à leur traitement et à leur portabilité, et le droit de déposer une plainte auprès d’une autorité de contrôle.
Dans des circonstances plus particulières, les fonctionnalités suivantes seront ajoutées : accès par badge aux locaux professionnels, surveillance vidéo des lieux de travail, géolocalisation des voitures des employés.
Le cadre juridique du traitement des données de santé
Certaines données jugées comme posant d’importants problèmes de confidentialité (par exemple, les données relatives à la santé) doivent faire l’objet d’une analyse d’impact sur la protection des données. Cette démarche a pour but d’aider les entreprises à respecter la vie privée des utilisateurs lors du traitement de leurs données, mais aussi à démontrer leur conformité au RGPD.
Les données de santé étant jugées sensibles, elles sont soumises à des garanties plus strictes (groupe sanguin, données génétiques, rythme cardiaque…).
En général, les données de santé relatives à une personne connue ou identifiable ne peuvent pas être exploitées ou commercialisées. Toutefois, si les personnes concernées donnent un accord clair et explicite, ou si le traitement relève de l’une des exceptions légales, les données peuvent être utilisées.
Voici les cas dans lesquels la loi autorise le traitement des données :
- La prévention de la santé publique
- La préservation des intérêts vitaux de la personne
- La médecine préventive, le traitement et le diagnostic sont tous des aspects de l’évaluation médicale.
- La médecine du travail, ou le pourcentage légal de personnes handicapées employées.
- La gestion des systèmes et services de soins de santé, ainsi que la protection sociale.
Les sanctions en cas de non-respect de la législation : Afin de garantir la mise en œuvre de cette nouvelle législation, des sanctions pour non-conformité ont été mises en place, notamment une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise en cas de non-respect de la nouvelle réglementation.
