GDPR pour les nuls

Le règlement général sur la protection des données est un texte législatif européen complexe sur la confidentialité des données qui a un impact sur les entreprises du monde entier. Les entreprises doivent comprendre ses exigences afin de s'y conformer.

Ce guide GDPR pour les nuls explique tout ce que vous devez savoir sur le GDPR dans un langage facile à comprendre.

Ci-dessous, je vous propose une explication pour débutants du GDPR, des personnes auxquelles il s'applique et qu'il protège, ainsi que des mesures à prendre pour que votre entreprise soit pleinement conforme.

Table des matières

1. Principaux enseignements : Le GDPR expliqué en moins de 5 minutes
2. Le GDPR expliqué aux débutants
3. Comment le GDPR affecte-t-il les utilisateurs d'Internet ?
4. Comment le GDPR affecte-t-il les entreprises ?
5. Liste de contrôle GDPR pour les nuls : Les choses à faire et à ne pas faire
6. Guide du GDPR pour les nuls [Infographie] (en anglais)
7. GDPR pour les nuls FAQ
8. Comment Termly peut-il vous aider à vous conformer au GDPR?
9. Résumé

Principaux enseignements : Le GDPR expliqué en moins de 5 minutes

Je ne pense pas que les entreprises devraient toujours avoir recours à un avocat pour comprendre les exigences de base de la conformité au GDPRc'est pourquoi j'ai expliqué ci-dessous les principaux éléments du règlement dans un langage facile à comprendre :

La liste ci-dessus est un bon point de départ pour comprendre le GDPR.

Mais dans la suite de ce guide simplifié du GDPR , j'aborde plus en détail les parties importantes du règlement.

Le GDPR expliqué aux débutants

Ensuite, je couvrirai les bases du GDPR, comme ce qu'il est, pourquoi nous en avons besoin, et comment il définit des phrases essentielles spécifiques liées aux informations personnelles et au traitement des données.

Qu'est-ce que le GDPR?

Le GDPR , acronyme de General Data Protection Regulation (règlement général sur la protection des données), est un texte législatif européen qui protège les informations personnelles. Il énonce plusieurs exigences que les entreprises doivent respecter pour traiter ces données en toute légalité.

Bien qu'elle ait été adoptée dans l'UE, elle concerne les entreprises du monde entier et a introduit le concept de protection de la vie privée dès la conception (PbD).

Cette approche de la protection de la vie privée implique de limiter au maximum la collecte de données et de mettre en place des mesures de sécurité dès le début de l'activité de traitement afin de prévenir les fuites et les violations de données à tous les stades du traitement des informations à caractère personnel.

Le GDPR repose sur sept principes de protection des données :

1. Légalité, équité et transparence
2. Limitation de l'objet
3. Minimisation des données
4. Précision
5. Limitation du stockage
6. Intégrité et confidentialité (sécurité)
7. Responsabilité

Elle est entrée en vigueur le 25 mai 2018 et a établi de nouvelles normes en matière de confidentialité et de sécurité des données, donnant le coup d'envoi à une vague de lois mondiales sur la protection de la vie privée qui ont changé à jamais la façon dont les consommateurs et les entreprises utilisent l'internet.

Pourquoi avons-nous besoin du GDPR?

Nous avons besoin de lois comme le GDPR parce que les gens ont le droit de savoir et d'avoir un certain contrôle sur les informations qui sont collectées à leur sujet et sur la manière dont elles sont utilisées par la suite, ou avec qui elles sont partagées. Cela inclut vous, moi et toute autre personne utilisant l'internet.

Les données personnelles ont une grande valeur - elles sont à la base d'une industrie qui pèse des milliers de milliards de dollars.

Aujourd'hui, de nombreuses entreprises réalisent une partie de leurs bénéfices en vendant des informations personnelles à des annonceurs. Des règlements comme le GDPR créent un cadre de protection de la vie privée pour les entreprises de toutes tailles en établissant des règles sur ce qu'elles peuvent et ne peuvent pas faire avec vos informations personnelles.

Savoir comment fonctionne ce texte législatif essentiel et quels sont vos droits potentiels vous permet de mieux contrôler votre vie en ligne et hors ligne.

Qui le GDPR protège-t-il ?

Le GDPR protège les informations personnelles de toute personne au sein de l'UE ou de l'EEE et les désigne sous le nom de " personnes concernées".

Les États membres de l'UE sont

Les pays de l'AELE (Association européenne de libre-échange) qui font partie de l'EEE (Espace économique européen) sont les suivants :

• Islande
• Liechtenstein
• Norvège

La localisation physique de l'individu est le seul facteur pris en compte par le règlement - il s'applique indépendamment de la nationalité ou du statut de citoyenneté.

Quelles entreprises doivent respecter les exigences du GDPR ?

Le GDPR s'applique à toute entreprise établie dans l'UE/EEE, que le traitement ait lieu à l'intérieur ou à l'extérieur de l'UE/EEE.

Elle s'applique également aux entreprises non établies dans l'UE/EEE qui traitent des informations à caractère personnel et aux entreprises qui ne sont pas établies dans l'UE/EEE qui traitent des informations à caractère personnel :

1. offre des biens ou des services qui sont disponibles pour les personnes concernées au sein de l'UE ou de l'EEE (qu'un paiement de la personne concernée soit ou non requis) ou
2. Contrôler le comportement des personnes concernées au sein de l'UE ou de l'EEE

Les entreprises situées dans n'importe quelle partie du monde peuvent relever du champ d'application juridique du GDPR.

Toutefois, si votre entreprise n'est pas établie dans l'UE/EEE, que les biens ou services que vous fournissez ne sont pas accessibles aux personnes de l'UE/EEE et que vous ne traitez pas de données provenant de personnes de l'UE/EEE, vous n'avez pas besoin de vous conformer au GDPR.

Les définitions du GDPR pour les nuls

Dans le tableau ci-dessous, j'ai fourni des versions simplifiées des définitions juridiques spécifiques des mots importants tels qu'ils apparaissent dans le texte du GDPR pour vous aider à déterminer si votre entreprise doit suivre le règlement.

Mot	La définition pour les nuls	Définition légale telle qu'elle apparaît dans le GDPR (chapitre 1, article 4)
Données personnelles	Informations permettant d'identifier une personne physique (alias personne concernée), que ce soit directement ou indirectement, comme par exemple : Noms Numéros d'identification Géolocalisation Adresses IP Adresses électroniques ou physiques Informations personnelles sensibles etc.	...toute information concernant une personne physique identifiée ou identifiable ("personne concernée") ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique...".
Traitement	Traitement comprend l'une des actions suivantes en ce qui concerne données personnelles relative à un personne concernée: Collecte Enregistrement Organiser Structuration Stockage Adaptation Modification Récupération Conseil Utilisation Divulgation par transmission Diffusion Mise à disposition Alignement ou combinaison Restriction Effacement ou Destruction.	"...toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction..."
Contrôleur des données	Toute entité (personne physique ou morale, autorité publique, agence ou autre organisme) qui détermine le(s) but(s) et les moyens de l'action. traitement de données personnelles. Est-ce votre entreprise qui décide pourquoi et comment les données personnelles sont traitées? Votre entreprise peut être un contrôleur de données au sens du GDPR.	"...la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou des États membres, le responsable du traitement ou les critères spécifiques pour sa désignation peuvent être prévus par le droit de l'Union ou des États membres..."
Responsable du traitement des données	Toute entité tierce qui processus les données personnelles de personnes concernées au nom de la responsable du traitement des données. Votre entreprise reçoit-elle des instructions claires sur la raison et la manière dont les données à caractère personnel doivent être traitées ? Votre entreprise peut être un sous-traitant de données au sens du GDPR.	"...une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement..."

Quelles sont les sanctions en cas de violation du GDPR?

Cette section sera brève et concise. Selon le type d'infraction, les entreprises qui enfreignent le GDPR peuvent se voir infliger des amendes allant jusqu'à.. :

• 10 millions d'euros (12 millions de dollars) ou 2 % de votre revenu annuel brut de l'exercice précédent (le montant le plus élevé étant retenu) pour toute infraction à l'article 83, paragraphe 4.
• 20 millions d'euros (23 millions de dollars) ou 4 % du revenu brut annuel de l'exercice précédent (le montant le plus élevé étant retenu) pour toute infraction à l'article 83, paragraphe 5.

Le règlement est appliqué par différentes autorités de protection des données (APD) situées dans les pays de l'UE/EEE.

À l'instar d'un shérif de la protection des données, ils font respecter et supervisent l'application du GDPR et des lois nationales pertinentes dans leur pays, fournissent des conseils d'experts sur les questions de protection des données, traitent les plaintes déposées en cas de violation de la loi et peuvent même infliger de lourdes amendes.

Nomination d'un DPD (délégué à la protection des données)

Les entités (qu'elles agissent en tant que responsables du traitement ou sous-traitants) qui traitent des catégories particulières de données à caractère personnel ou qui surveillent le comportement des personnes à grande échelle dans le cadre de leurs activités principales doivent désigner un délégué à la protection des données (DPD):

• Gérer l'ensemble de leurs activités et de leurs documents relatifs GDPR
• Contrôler la conformité de l'entreprise avec les lois applicables en matière de protection des données.
• Fournir des conseils internes concernant les règles ou pratiques applicables en matière de protection des données ou
• Communiquer avec l'autorité compétente en matière de protection des données ou avec les personnes concernées, si nécessaire.

Même si une entreprise n'est pas obligée de désigner un DPD en vertu du GDPR, la désignation d'un DPD est toujours recommandée en tant que meilleure pratique.

Comment le GDPR affecte-t-il les utilisateurs d'Internet ?

Le GDPR affecte les utilisateurs d'Internet basés dans l'UE/EEE en leur accordant des droits spécifiques et en leur permettant de contrôler quand et comment leurs données personnelles sont traitées.

Les personnes concernées protégées par le GDPR ont le droit de :

• Accéder aux informations collectées à leur sujet, aux personnes avec lesquelles elles sont partagées et à la manière dont elles sont utilisées.
• Rectifier toute information inexacte concernant la personne concernée
• Effacer les données personnelles concernant la personne concernée dans certaines situations
• Limiter le traitement des données à caractère personnel dans certaines circonstances
• Recevoir une copie portable de ses données afin de pouvoir les partager facilement avec une autre partie et les utiliser dans d'autres formats
• S'opposer au traitement des données dans certaines situations
• Refuser le traitement automatisé, comme le profilage
• Retirer le consentement qui a été donné précédemment
• Déposer une plainte auprès d'une autorité de protection des données

Pour en savoir plus sur les droits accordés aux personnes concernées, consultez le chapitre 3 du GDPR.

Comment le GDPR affecte-t-il les entreprises ?

Le GDPR décrit plusieurs exigences commerciales que vous devez respecter (selon que vous agissez en tant que responsable du traitement ou sous-traitant) pour traiter légalement les informations personnelles, que je couvre brièvement dans les sections suivantes.

Déterminer votre base juridique

Conformément au GDPR, votre entreprise doit disposer d'une base juridique pour le traitement de chaque catégorie de données personnelles des personnes concernées.

Les raisons juridiquement fondées du traitement des données sont expliquées au chapitre 2, article 6 du règlement et comprennent :

• Obtenir le consentement explicite de la personne concernée pour une ou plusieurs finalités spécifiques
• remplir les obligations contractuelles nécessaires auxquelles la personne concernée est partie
• Pour les obligations légales ou les exigences auxquelles le responsable du traitement est soumis
• les intérêts vitaux de la personne concernée ou d'une autre personne physique (ne s'applique généralement qu'aux situations de vie ou de mort)
• l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement
• Intérêts légitimes poursuivis par le responsable du traitement ou un tiers et qui ne prévalent pas sur les intérêts ou les droits et libertés fondamentaux de la ou des personnes concernées.

Évaluations de l'impact de la protection des données (DPIA)

Si les activités de traitement des données d'une entreprise sont susceptibles de présenter un risque élevé pour les droits et libertés fondamentaux des personnes, elles doivent remplir une DPIA conformément au chapitre 4, article 35.

Voici quelques exemples d'activités de traitement à haut risque :

• Utiliser des technologies innovantes
• Suivre la localisation ou le comportement d'une personne
• Traitement de données génétiques ou biométriques (23andMe ou tests ADN, reconnaissance faciale, empreintes digitales ou scanners rétiniens)
• Le marketing auprès des enfants ou d'autres personnes vulnérables.

Le consentement et le GDPR

De nombreuses entreprises soumises au GDPR s'appuient sur l'obtention du consentement de l'utilisateur pour traiter légalement les informations personnelles. Si vous choisissez de le faire, vous devez répondre à des exigences précises.

Le GDPR définit le consentement comme suit :

"... une indication librement consentie, spécifique, informée et univoque des souhaits de la personne concernée par laquelle la personne concernée a signifié, par une déclaration ou par une action affirmative claire, son accord pour le traitement des données à caractère personnel la concernant. son accord au traitement des données à caractère personnel la concernant..."

En d'autres termes, les personnes concernées par votre traitement de données doivent savoir ce qu'elles acceptent et donner librement leur consentement en effectuant une action positive, par exemple en cochant une case ou en cliquant sur un bouton "J'accepte" clairement indiqué.

Le GDPR explique également plusieurs conditions pour le consentement dans le chapitre 2, article 7, donc assurez-vous que vous respectez toutes ces exigences supplémentaires:

• Vous devez démontrer que vous avez effectivement obtenu le consentement légal des personnes concernées.
• La demande de consentement doit être clairement distinguée de la demande de consentement à d'autres choses, comme les courriels de marketing. C'est pourquoi il est important de créer des boîtes spécifiques et distinctes pour chaque objectif.
• Vous devez informer les personnes concernées qu'elles peuvent retirer leur consentement à tout moment, et vous devez leur fournir un moyen facile de le faire.

La plupart des entreprises utilisent une bannière de consentement avec des liens vers leur utilisation de cookies ou leur collecte de données personnelles pour obtenir le consentement approprié en vertu du GDPR

GDPR Privacy and politique de cookies Requirements for Businesses (en anglais)

Votre entreprise a besoin d'une politique de confidentialité et d'une politique de cookies précises et GDPR afin que les personnes concernées puissent comprendre les activités de traitement des données effectuées par votre entreprise dans le cadre du GDPR.

Selon le chapitre 3, article 13 du GDPR, les entreprises doivent présenter les informations suivantes aux personnes concernées aux points où les données personnelles sont obtenues :

• L'identité et les coordonnées du responsable du traitement des données (c'est-à-dire votre entreprise, si vous êtes responsable des moyens et des finalités de ce traitement).
• les coordonnées du délégué à la protection des données ou du DPD, le cas échéant
• La finalité et la base juridique du traitement des données à caractère personnel, telles qu'expliquées au chapitre 2, article 6
• les intérêts légitimes du responsable du traitement des données (ou du sous-traitant tiers), le cas échéant
• qui reçoit les données et toute intention de traiter ultérieurement ces données à caractère personnel
• Informations sur l'intention de transférer les données en dehors de l'EEE
• La durée de stockage des données ou les critères permettant de déterminer cette durée.
• Les droits des personnes concernées en vertu du GDPR
• le droit de retirer leur consentement si le traitement est fondé sur cette base juridique
• Le droit de déposer une plainte auprès d'une autorité de contrôle
• L'existence d'une prise de décision automatisée, y compris le profilage.

Le règlement donne également aux personnes concernées le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel les concernant sont ou ne sont pas traitées et, le cas échéant, d'accéder aux données à caractère personnel collectées à leur sujet.

Le chapitre 3, article 15, stipule que les responsables du traitement doivent informer les personnes concernées de tous les détails suivants :

• L' objectif du traitement des données
• Les catégories de données que vous traitez
• Qui reçoit les données ?
• Durée de conservation des données
• Une explication des droits des personnes concernées sur leurs données et de la manière de les exercer.
• Une explication du droit des personnes concernées à se plaindre de votre entreprise auprès d'une autorité de contrôle
• La source de toute donnée à caractère personnel concernant une personne concernée dont vous disposez et que vous n'avez pas collectée directement auprès d'elle
• Si vous utilisez des processus de prise de décision automatisés, tels que le profilage

Formulaires DSAR GDPR

Pour que vos utilisateurs protégés par le GDPR puissent facilement faire valoir leurs droits, mettez à leur disposition un formulaire de demande d'accès à la base de données (DSAR) sur votre site web.

Un formulaire DSAR crée une procédure simple et directe pour vos utilisateurs qui souhaitent supprimer, modifier ou accéder à leurs informations.

TermlyLe CMP vous fournit un formulaire DSAR gratuit que vous pouvez intégrer à votre site web afin de traiter correctement les demandes des personnes concernées, comme le montre la capture d'écran ci-dessous.

Accords sur le traitement des données dans le cadre du GDPR

Si une autre entreprise vous aide à traiter les informations personnelles de vos utilisateurs, vous devez créer un contrat qui respecte des exigences spécifiques, comme expliqué au chapitre 4, article 28 du GDPR

Vous et le tiers devez signer le contrat, souvent appelé accord de traitement des données (ATD). Il doit contenir tous les détails suivants concernant le sous-traitant tiers :

• Ne traiter les données à caractère personnel que selon les instructions du responsable du traitement.
• S'engager à respecter la confidentialité des données personnelles.
• Prendre toutes les mesures de sécurité prévues à l'article 32 du GDPR
• Ne pas s'engager avec un sous-traitant ultérieur sans autorisation écrite ou générale préalable.
• En cas de sous-traitance à un autre sous-traitant ultérieur, les mêmes obligations en matière de protection des données que celles prévues dans le contrat ou autre acte juridique entre le responsable du traitement et le sous-traitant ultérieur sont imposées au sous-traitant ultérieur par voie de contrat ou autre acte juridique.
• Il doit être en mesure d'aider le responsable du traitement à prendre les mesures techniques appropriées pour satisfaire et répondre aux demandes des personnes concernées de faire valoir leurs droits.
• Il doit aider le responsable du traitement à respecter les exigences en matière de sécurité et de consultation préalable (prévues aux articles 32 et 36).
• Supprimer ou renvoyer toutes les données à caractère personnel au responsable du traitement après la fin du contrat.
• Mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer la conformité au GDPR et informer immédiatement le responsable du traitement s'il estime qu'une instruction enfreint le GDPR ou d'autres lois de l'État membre.
• Autoriser les audits et y contribuer, y compris les inspections menées par le contrôleur ou un autre auditeur mandaté par le contrôleur.

Exigences du GDPR matière de sécurité des données

Le GDPR exige des entreprises qu'elles stockent en toute sécurité les données personnelles qu'elles traitent et qu'elles les protègent contre les cybercrimes tels que les fuites ou les violations de données.

C'est à vous de décider des mesures de sécurité que vous mettez en place, mais le règlement suggère de prendre les mesures suivantes au chapitre 4, article 32 :

• Pseudonymisation et cryptage
• Garantir la confidentialité, l'intégrité et la résilience de vos systèmes de traitement
• Fournir un moyen de restaurer la disponibilité et l'accès aux données à la suite d'un incident
• Créez un processus de test, d'évaluation et d'appréciation de l'efficacité de vos mesures techniques et organisationnelles.

Il est recommandé d'évaluer les mesures techniques et organisationnelles destinées à protéger en permanence les données à caractère personnel (par exemple, une fois par an ou en cas d'incident ou de violation spécifique). Une attention particulière doit être accordée aux risques suivants qui sont associés au traitement des données à caractère personnel :

• Destruction accidentelle ou illégale
• Perte
• Modification
• la divulgation ou l'accès non autorisé aux données à caractère personnel transmises, stockées ou traitées d'une autre manière

Si une violation de données se produit et que l'un des risques susmentionnés se concrétise, vous disposez de 72 heures pour informer l'autorité compétente en matière de protection des données à partir du moment où vous avez pris connaissance de la violation.

Si la violation de données est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques, ces dernières doivent être informées de la cybercriminalité dans les plus brefs délais.

Liste de contrôle GDPR pour les nuls : Les choses à faire et à ne pas faire

Pour simplifier encore davantage le GDPR , j'ai créé deux listes, l'une présentant les choses à faire et l'autre les choses à ne pas faire GDPR .

Ce qu'il faut faire dans GDPR

Si votre entreprise relève du champ d'application du GDPR, entre autres, vous devez faire tout ce qui suit :

• Rédigez et publiez une politique de protection de la vie privée conforme : Veillez à ce que votre politique de confidentialité soit facile à lire et à comprendre et présentez-la à vos utilisateurs chaque fois que vous recueillez des informations.
• Publiez une politique de cookies et mettez-la à jour régulièrement : Les cookies sont considérés comme des informations personnelles dans le cadre du GDPR, et presque tous les sites web les utilisent. Vérifiez donc que tous les cookies ou traceurs sont communiqués à vos utilisateurs dans une politique de cookies, et tenez-la à jour pour qu'elle soit toujours exacte.
• Utiliser une bannière de consentement correctement configurée : Si le consentement est votre base juridique pour le traitement des informations personnelles, utilisez une bannière de consentement sur votre site web qui obtient et suit le consentement approprié des utilisateurs et leur donne accès à un centre de préférences pour changer d'avis.
• Mettez des formulaires DSAR sur votre site web : Vos utilisateurs ont le droit de demander l'accès, la suppression, la modification ou la correction des données à caractère personnel que vous avez collectées à leur sujet ; publiez donc un formulaire DSAR sur votre site pour leur permettre de faire valoir leurs droits légaux.
• Utilisez des DPA pour vos contrats avec des tiers : Si vous vous associez à des tiers pour traiter les données de vos utilisateurs, fournissez-leur un DPA qui répond à toutes les lignes directrices contractuelles expliquées dans le chapitre 4, article 28 du GDPR
• Demandez-vous si la finalité de la collecte des données personnelles est justifiée.
• FAIRE en sorte que les données personnelles soient correctement sécurisées .
• Veiller à ce que les données à caractère personnel soient exactes et mises à jour.
• SUPPRIMER les données personnelles lorsqu'elles ne sont plus nécessaires.

Ce qu'il ne faut pas faire GDPR

Maintenant que vous savez ce qu'il faut faire si votre entreprise est concernée par le GDPR, voici une liste de ce qu'il ne faut pas faire:

• N'utilisez pas de solutions de contournement sournoises : Si, par exemple, vos utilisateurs doivent cliquer sur plusieurs liens inutiles pour accéder à votre centre de préférences pour le consentement ou s'il est très difficile de trouver le bouton d'exclusion sur votre bannière de consentement, vous risquez de vous voir infliger une amende pour non-conformité.
• N'UTILISEZ PAS de cases pré-cochées pour obtenir le consentement de l'utilisateur : Le GDPR n'autorise pas les cases pré-cochées sur les bannières de consentement car elles empêchent vos utilisateurs de prendre une mesure positive pour montrer qu'ils acceptent vos activités de traitement des données.
• Ne mentez pas sur la manière dont vous utilisez les données personnelles : Il est contraire au GDPR de mentir sur les données que vous collectez et sur la manière dont vous les utilisez, et les autorités de contrôle des différents pays de l'UE/EEE peuvent vous tenir financièrement responsable.
• NE PAS copier les politiques juridiques d'autres entreprises : Les politiques juridiques sont des documents protégés par le droit d'auteur ; les copier directement à partir d'une autre entité constitue un plagiat. Plus important encore, la politique d'une autre entreprise ne reflétera pas fidèlement vos pratiques en matière de données.
• Ne conservez pas les données personnelles dont vous n'avez plus besoin : Le GDPR stipule clairement que vous ne pouvez stocker les données qu'aussi longtemps que nécessaire pour atteindre l'objectif que vous avez expliqué à vos utilisateurs dans votre politique de confidentialité, alors assurez-vous de ne pas conserver ces données plus longtemps que nécessaire.
• Ne pensez pas que vous vous en tirerez sans problème en cas de non-conformité : Vous pourriez supposer que votre entreprise est trop petite ou trop sous le radar pour être condamnée à une amende pour non-conformité, mais ce n'est pas le cas. Depuis 2018, le GDPR a généré près de 3 milliards de dollars d'amendes. Il suffit qu'un utilisateur se plaigne ou qu'il soit victime d'une seule cybercriminalité entraînant la fuite des informations personnelles que vous avez collectées pour que les autorités chargées de la protection des données demandent des comptes à votre entreprise - les conséquences financières et en termes de réputation sont bien réelles.

Guide du GDPR pour les nuls [Infographie] (en anglais)

Bonne nouvelle : Nous avons compilé les parties essentielles de ce guide GDPR pour les nuls dans une infographie facile à partager. Jetez-y un coup d'œil ci-dessous !

Téléchargez l'infographie GDPR pour les nuls en cliquant sur le lien ci-dessous :

PDF Guide GDPR pour les nuls.

Lorsqu'il s'agit de respecter les lois sur la confidentialité des données et les droits des utilisateurs, nous sommes tous concernés. N'hésitez donc pas à partager ce guide et cette infographie avec d'autres personnes si vous les trouvez utiles.

GDPR pour les nuls FAQ

J'adore parler de la conformité en matière de confidentialité des données et du GDPR. Voici donc quelques réponses aux questions les plus fréquentes que nous recevons sur le GDPR.

Comment Termly peut-il vous aider à vous conformer au GDPR?

Termly offre des générateurs de politiques et des solutions de gestion du consentement soutenues par notre équipe d'avocats et d'experts en confidentialité des données qui peuvent aider votre entreprise à se conformer pleinement au GDPR et à plusieurs autres lois sur la confidentialité des données dans le monde entier.

Nous rendons la conformité légale facile et abordable afin que vous puissiez vous concentrer sur les choses qui comptent le plus, comme votre entreprise et vos clients.

Notre gratuité Générateur de politique de confidentialité respecte toutes les exigences du GDPR - il vous suffit de répondre à des questions simples sur votre entreprise. Il crée pour vous une politique conforme et correctement formatée.

Voyez ce que cela donne dans la capture d'écran ci-dessous.

Nous proposons également une plateforme de gestion du consentement équipée de paramètres d'assistance régionaux afin que vous puissiez configurer une bannière de consentement GDPR qui s'affiche pour tous vos utilisateurs de l'UE/EEE et qui obtienne et suive de manière adéquate leurs choix de consentement conformément à la réglementation.

Dans la capture d'écran ci-dessous, vous pouvez voir un exemple des paramètres de notre bannière de consentement.

Nous sommes votre solution de conformité tout-en-un, et nos outils aident les petites et moyennes entreprises du monde entier à rester à jour avec des lois telles que le GDPR et plus encore.

Résumé

Le GDPR a modifié à jamais le champ d'application de la confidentialité des données et a affecté les entreprises du monde entier.

Mais avec ce guide et le site Termly dans votre boîte à outils, vous êtes prêt à mettre votre site web en conformité totale avec la législation, sans tracas, sans confusion et sans frais juridiques onéreux.

N'oubliez pas que pour vous conformer à ce règlement, vous devez disposer d'un site web conforme à la législation sur la protection de la vie privée et d'un site web politique de cookies, d'une bannière de consentement correctement configurée et d'un formulaire DSAR sur votre site web.

Pour obtenir une aide plus approfondie sur le GDPR, consultez ces ressources précieuses :

• Qu'est-ce que le GDPR? - Notre guide le plus complet sur tout ce que vous devez savoir sur le GDPR.
• Page d'accueil du GDPR l'UE - Le site officiel du GDPR contient des informations utiles si vous souhaitez approfondir les aspects juridiques.
• Le guide GDPR de l'ICO - Ce guide de l'autorité britannique est utile pour toutes les entreprises.

En savoir plus sur l'auteur

Écrit par Teodor Stanciu, CIPP/E, CIPM

Teo est un spécialiste de la protection des données et un délégué à la protection des données (DPD) expérimenté qui se passionne pour aider les entreprises à respecter leurs obligations en matière de protection des données. Il a plus de sept ans d'expérience en tant que DPD pour une organisation internationale active dans 50 pays et basée à Bruxelles, en Belgique. Teo est un Certified Information Privacy Professional/Europe (CIPP/E) et un Certified Information Privacy Manager (CIPM) de l'International Association of Privacy Professionals (IAPP).

En savoir plus sur l'auteur

Révisé par Masha Komnenic CIPP/E, CIPM, CIPT, FIP Directrice de la protection de la vie privée au niveau mondial