Votre entreprise doit se conformer au règlement général sur la protection des données (RGPD) si vous possédez un site web ou une application qui recueille des informations personnelles auprès des visiteurs, et si vos services sont accessibles aux personnes de l'Union européenne (UE) ou de l'Espace économique européen (EEE).
Enfreindre le RGPD, même par erreur, peut conduire à des amendes massives allant jusqu'à 4% de votre revenu annuel brut et à d'autres formes de sanctions.
Pour vous aider à mettre votre site web ou votre application en conformité totale avec RGPD et éviter des amendes coûteuses, j'ai créé une liste de contrôle RGPD facile à suivre pour vous guider à travers l'ensemble du règlement.
Liste de contrôle RGPD
Voici une simple liste de contrôle RGPD pour aider votre site web ou votre application à répondre à toutes les exigences en matière de confidentialité des données énoncées par ce règlement.
|
Partie 1 - Commencez ici : Liste de contrôle RGPD pour les entreprises
Solution : Auditer votre entreprise pour répondre aux exigences du RGPD |
Source |
|
Les incohérences ou les inexactitudes, même par erreur, peuvent entraîner des amendes pour non-conformité. |
|
La loi exige que vous disposiez d'une base juridique pour le traitement de chaque type de données à caractère personnel. |
|
Les termes du règlement sont définis au chapitre 1, Article 4
Les responsables du traitement des données et les sous-traitants doivent suivre des lignes directrices légèrement différentes, que nous vous présentons dans cette liste de contrôle. |
| TIP : Le traitement des données signifie la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation, la modification, l'extraction, la consultation, l'utilisation, la divulgation, la diffusion ou toute autre forme de mise à disposition de l'information. | |
|
Si le consentement est votre base juridique, vous devez suivre les étapes suivantes
Solution : Utilisez un plateforme de gestion du consentement qui vous permet de... |
Source |
|
Chapitre 2, article 7 |
|
Chapitre 2, article 7, section 2 |
|
Chapitre 2, article 7, section 3 |
|
Chapitre 2, article 7, section 1 |
|
Partie 2 - Ce que vous DEVEZ expliquer aux personnes concernées
Solution : Créez une politique de confidentialitéRGPD et incluez... |
Source |
|
Chapitre 3, article 13 et article 15 |
|
Chapitre 3, article 15 |
|
Chapitre 3, article 15, partie a) |
|
Chapitre 3, article 15, partie c) |
|
Chapitre 3, article 15, partie d) |
|
Chapitre 3, article 15, partie e) |
|
Chapitre 3, article 15, partie f) |
|
Chapitre 3, article 15, partie g) |
|
Chapitre 3, article 15, partie h) |
|
Partie 3 - Responsabilité et contrats avec des tiers
Solution : Utiliser un accord sur le traitement des données(DPA) qui exige du responsable du traitement des données qu'il... |
Source |
|
Chapitre 4, article 28, section 3, partie a) |
|
Chapitre 4, article 28, section 3, partie b) |
|
Chapitre 4, article 28, section 3, partie c) |
|
Chapitre 4, article 28, section 3, partie d) |
|
Chapitre 4, article 28, section 3, partie e) |
|
Chapitre 4, article 28, section 3, partie f) |
|
Chapitre 4, article 28, section 3, partie g) |
|
Chapitre 4, article 28, section 3, partie h) |
| Si VOUS êtes un responsable du traitement des données, assurez-vous que le responsable du traitement des données crée une DPA conforme que vous devez signer. | |
|
Partie 4 - Exigences en matière de sécurité et de stockage des données
Solution : Mettre en œuvre des mesures de sécurité techniques et organisationnelles. |
Source |
|
Chapitre 4, article 32 |
|
Chapitre 4, article 35 et article 36 |
|
Partie 5 - Transferts internationaux de données
Solution : Mettre en place des garanties appropriées pour le transfert des données |
Source |
|
Chapitre 5, article 46 |
Le reste de ce guide décrit plus en détail les différentes exigences du RGPD et la façon dont les solutions Termlypeuvent vous aider à vous mettre en conformité de façon simple et abordable.
Plus d'informations sur le RGPD
Voici quelques réponses aux questions les plus fréquentes que je me pose sur le RGPD et son impact mondial.
Qu'est-ce que le RGPD en termes simples ?
Le RGPD est un règlement de l'Union européenne (UE) qui couvre également l'Espace économique européen (EEE). Il décrit les lignes directrices en matière de protection des données, les droits des consommateurs et les exigences des entreprises en matière de collecte et d'utilisation des informations personnelles.
Cette législation permet aux utilisateurs de mieux contrôler quand et comment leurs données sont collectées par les sites web ou les applications fonctionnant en ligne.
Elle est entrée en vigueur le 25 mai 2018 et s'articule autour des sept principes suivants en matière de protection de la vie privée:
- Légalité, équité et transparence
- Limites de l'objectif
- Minimisation des données
- Précision
- Limites de stockage
- Intégrité et confidentialité
- Responsabilité
Quel est le champ d'application du RGPD?
Le RGPD a une portée mondiale car il s'applique à toute entité qui recueille des informations personnelles et reçoit des visiteurs de l'UE ou de l'EEE.
D'autres lois sur la protection des données, comme la loi californienne modifiée sur la protection des consommateurs(CCPA) et la loi de Virginie sur la protection des données des consommateurs(CDPA), prévoient des seuils monétaires ou s'appliquent aux entreprises qui collectent des quantités spécifiques de données. Ce n'est pas le cas du RGPD.
Votre entreprise peut être située n'importe où dans le monde, mais si vous recevez des visiteurs de l'UE ou de l'EEE et que vous collectez leurs données, vous devez leur fournir un moyen de faire respecter leurs droits en matière de protection de la vie privée, sous peine de recevoir des amendes pour non-conformité.
L'UE compte 27 États membres :
- Autriche
- Belgique
- Bulgarie
- Croatie
- République de Chypre
- République tchèque
- Danemark
- Estonie
- Finlande
- France
- Allemagne
- Grèce
- Hongrie
- Irlande
- Italie
- Lettonie
- Lituanie
- Luxembourg
- Malte
- Pays-Bas
- Pologne
- Portugal
- Roumanie
- Slovaquie
- Slovénie
- Espagne
- Suède
Les autres pays de l'EEE que le RGPD protège également sont les suivants :
- Islande
- Liechtenstein
- Norvège
Qu'est-ce qui constitue des données personnelles au sens du RGPD?
Comme vous devez informer les consommateurs des informations personnelles (IP) que vous collectez, il est important que vous sachiez exactement comment le RGPD définit les informations personnelles.
Le RGPD décrit les données à caractère personnel au chapitre 1, article 4, comme suit :
...toute information concernant une personne physique identifiée ou identifiable ("personne concernée") ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique...
Toute information permettant d'identifier une personne, seule ou combinée à d'autres données collectées, est considérée comme une IP au sens du présent règlement :
- Noms
- Adresses
- Numéro de téléphone
- Adresses électroniques
- Adresses IP
- Localisation
- Données biométriques
- Croyances politiques, religieuses ou philosophiques
- Orientation sexuelle
- Adhésion à un syndicat
- Race ou origine ethnique
- Données médicales
Le règlement utilise à dessein une définition large afin de pouvoir s'adapter et tenir compte de tout progrès ou changement technologique.
Responsables du traitement des données et contrôleurs des données selon le RGPD
Le RGPD décrit différentes obligations selon que votre entreprise est qualifiée de responsable du traitement des données ou de sous-traitant. Il est possible d'agir comme les deux.
Le responsable du traitement, défini à l'article 4 du chapitre 1, désigne toute entité qui, seule ou avec d'autres, détermine les finalités et les modalités du traitement des données à caractère personnel. Par conséquent, si votre entreprise collecte des données et les utilise à des fins de marketing et de recherche, vous êtes considéré comme le responsable du traitement.
Chacune des entités suivantes peut être un contrôleur de données:
- Personne physique ou morale
- Autorité publique
- Agence
- Tout autre organisme
Le sous-traitant, quant à lui, est l'organisme qui traite effectivement l'information et est également défini à l'article 4. Il peut s'agir de n'importe laquelle des entités énumérées ci-dessus.
Le traitement au sens du règlement consiste à collecter, enregistrer, organiser, structurer, stocker, adapter, modifier, extraire, consulter, utiliser, divulguer, diffuser ou mettre à disposition les données à caractère personnel de l'utilisateur.
Si vous effectuez l'une de ces actions pour le compte d'une entité, vous êtes considéré comme son sous-traitant.
Transferts internationaux de données et RGPD
Le RGPD fournit des lignes directrices et des restrictions pour le transfert de données en dehors de l'UE vers des pays tiers.
Certains pays sont considérés comme "adéquats" et les transferts vers ces lieux sont légaux sans autorisation préalable :
- Andorre
- Argentine
- Canada
- Îles Féroé
- Guernesey
- Israël
- Île de Man
- Japon
- Jersey
- Nouvelle-Zélande
- Corée du Sud
- Suisse
- Le Royaume-Uni
- Uruguay
Lors d'un transfert vers un pays qui n'est pas considéré comme "adéquat", vous devez vous assurer que le sous-traitant respecte toutes les exigences RGPD , telles qu'elles sont énoncées dans le chapitre 5, articles 44 à 50 du règlement, sous peine de recevoir des amendes pour non-conformité.
Cela peut vous obliger à insérer des clauses supplémentaires dans vos contrats avec des tiers.
Conseils pour se conformer au RGPD
Pour être en conformité avec le RGPD, nous vous recommandons les conseils suivants pour votre site web ou votre application :
Sanctions en cas de non-respect de la législation
Le non-respect du RGPD a des conséquences importantes et peut avoir un impact sur votre entreprise, même si l'infraction est un accident.
Les sanctions prévues par l'article 83 comprennent des amendes pouvant aller jusqu'à 10 millions d'euros (environ 12 millions de dollars) ou jusqu'à 2 % du chiffre d'affaires annuel mondial de l'année précédente, le montant le plus élevé étant retenu :
- Manquement aux obligations contractuelles entre les responsables du traitement des données et les sous-traitants
- enfreindre les obligations de certification visant à garantir la sécurité des données à caractère personnel collectées et échangées entre les responsables du traitement et les sous-traitants
- Ne pas respecter les lignes directrices de l'organisme de contrôle indépendant et impartial chargé de délivrer et de renouveler la certification.
Vous trouverez ci-dessous une capture d'écran mettant en évidence cette partie du règlement.
Mais si vous commettez l'une des infractions suivantes, vous risquez des amendes pouvant aller jusqu'à 12 millions d'euros (environ 22 millions de dollars) ou jusqu'à 4 % de votre chiffre d'affaires annuel mondial de l'année précédente, le montant le plus élevé étant retenu :
- Ne pas respecter les principes de base du traitement des données, y compris les conditions du consentement
- porter atteinte aux droits des personnes concernées
- Ne pas respecter les exigences internationales en matière de transfert de données
- Ne respectent pas les obligations prévues par les législations spécifiques des États membres
- Ne pas se conformer à une ordonnance ou à une limitation temporaire du traitement des données ordonnée par une autorité de contrôle compétente.
Vous trouverez ci-dessous une autre capture d'écran de l'article 83 décrivant ces amendes plus élevées.
Vous pouvez également être invité à cesser de traiter des données à caractère personnel ou recevoir d'autres instructions de l'autorité de contrôle compétente.
En plus de ces sanctions, vous risquez de faire l'objet d'un examen public et de perdre la confiance de vos consommateurs. Les internautes savent aujourd'hui que les entreprises qui reçoivent des amendes du RGPD ne protégeaient pas ou ne collectaient pas leurs informations personnelles de manière appropriée.
Comment Termly aide votre entreprise à se conformer au RGPD
Vous pouvez utiliser une combinaison de produits Termly pour aider votre entreprise à se conformer facilement et à moindre coût au RGPD.
Générateurs et modèles de politiques
Une fois rempli, notre Générateur de politique de confidentialité ou modèle de politique de confidentialité peut vous aider à respecter toutes les obligations commerciales relatives aux droits des consommateurs en matière de protection de la vie privée énoncés au chapitre 3, articles 12 à 23 du RGPD.
Générateur de politique de confidentialité
Conformément à ce règlement, il vous incombe , en tant que responsable du traitement des données, de prendre les mesures appropriées pour informer les utilisateurs de vos pratiques en matière de collecte de données. Nos outils vous permettent de créer un site politique de confidentialité qui répond à ces exigences - nous avons mis en évidence les sections pertinentes du règlement ci-dessous.
Avec notre Générateur de politique de confidentialitévous n'avez qu'à répondre à des questions simples sur votre entreprise, et le document est automatiquement créé pour vous.
L'ensemble du processus est rapide et il y a une fonction d'enregistrement si vous voulez faire une pause et revenir pour terminer plus tard. Notre équipe d'assistance à la clientèle est également à votre disposition si vous avez des questions.
Voir un exemple de la partie RGPD de notre Générateur de politique de confidentialité dans la capture d'écran ci-dessous.
Modèle de politique de confidentialité
L'utilisation de notre modèle gratuit reste facile mais demande plus d'efforts car vous devez remplir manuellement les sections vides avec des détails sur votre entreprise et vous assurer que les informations sont exactes et complètes. Cela nécessite des connaissances juridiques un peu plus approfondies.
Découvrez ci-dessous notre modèle de politique de confidentialité RGPD.
Quel que soit votre choix, ces deux outils vous aident à respecter la conformité. Notre équipe juridique et nos experts en confidentialité des données travaillent sur tous nos générateurs et modèles de politiques pour s'assurer qu'ils respectent les lois sur la protection de la vie privée telles que le RGPD, la loi modifiée sur la protection des données, etc.
Plateforme de gestion du consentement
Vous pouvez facilement configurer notre plateforme de gestion du consentement (CMP) pour répondre à toutes les exigences légales en matière de consentement et aux lignes directrices énoncées dans les articles 6 et 7 du RGPD.
Selon le texte, l'obtention du consentement actif et explicite de l'utilisateur est l'une des bases juridiques de la collecte et de l'utilisation des informations personnelles, comme indiqué ci-dessous.
Vous pouvez utiliser notre bannière de consentementRGPD pour fournir à vos utilisateurs une politique de confidentialité et une politique de cookies - en les informant de manière adéquate - et pour demander un consentement légal (opt-in).
Vous trouverez ci-dessous une capture d'écran des paramètres RGPD dans nos outils CMP.
Étant donné que les cookies et autres traceurs sont considérés comme des informations personnelles dans le cadre de ce règlement, notre site web Analyseur de cookies vérifie votre site, classe les cookies et génère un site politique de cookies conforme et précis qui est mis à jour chaque fois qu'une nouvelle analyse a lieu.
Vos utilisateurs peuvent mettre à jour leurs préférences en matière de consentement facilement et à tout moment dans un centre de préférences, et nous conserverons des registres de leurs choix en matière de consentement conformément à l'article 7 du règlement.
Formulaires de demande d'accès de la personne concernée (DSAR ou SAR)
Nous fournissons des formulaires de demande d'accès pour les personnes concernées, ou formulaires DSAR ou SAR, pour vous aider à respecter les obligations RGPD concernant les droits d'accès des utilisateurs aux informations personnelles collectées à leur sujet, telles qu'elles sont décrites à l 'article 15.
Pour accéder au formulaire DSAR, utilisez notre site plateforme de gestion du consentement. Vous pouvez également vous inscrire en tant que membre de Pro+ et accéder à ce formulaire ainsi qu'au reste de notre gamme complète de solutions.
Résumé
Pour mettre votre site web ou votre application en conformité avec RGPD , vous aurez besoin d'un :
- politique de confidentialité
- Politique de cookies
- CLUF (pour les logiciels)
- Bannière de consentement
- plateforme de gestion du consentement
- Formulaires DSAR
- DPA
Vous pouvez créer ces documents par vous-même, ou simplifier le processus en consultant la suite de solutions de sites Web RGPD Termly.
En savoir plus sur l'auteur
Écrit par James Ó Nuanáin, CIPP/E, CIPM, CIPT
James est un professionnel de la protection de la vie privée qui a plus de sept ans d'expérience dans l'assistance aux grandes organisations pour qu'elles se conforment à leurs obligations au titre du GPDR et d'autres réglementations locales en matière de protection de la vie privée. Il est passionné par la confidentialité des données et l'intersection entre le droit et la technologie. En savoir plus sur l'auteur
