L’évolution rapide des technologies et la mondialisation ont engendré de nouveaux enjeux autour de la protection des données personnelles des individus. Le 25 mai 2018, l’Union Européenne créé le Règlement Général sur la Protection des Données.
Ce règlement concerne la collecte des données personnelles, leur utilisation, leur protection et leur stockage. Il entre en application dans tous les États membres de l’Europe et concerne toutes les entreprises qui collectent et utilisent des données à caractère personnel. L’objectif de ce règlement est de responsabiliser les entreprises sur une gestion et une utilisation responsable et respectueuse des données personnelles, et de permettre à tous de les contrôler.
Qu’est ce qu’une donnée personnelle et qui concerne-t-elle ?
La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. Toute personne a droit à la protection des données la concernant et au respect de ses libertés. Les personnes concernées doivent pouvoir garder la maîtrise de ces informations et retirer leur consentement à tout moment.
Une personne physique peut être identifiée :
- directement (exemple : nom et prénom)
- indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image)
L’identification d’une personne physique peut être réalisée :
- à partir d’une seule donnée (exemple : nom) ;
- à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour et membre de telle association).
- traitées de façon à garantir une sécurité appropriée
Une donnée personnelle concerne toute information se rapportant à une personne physique identifiée ou identifiable.
Les données à caractère personnel doivent être :
- traitées de manière licite, loyale et transparente
- collectées pour des finalités déterminées, explicites et légitimes
- adéquates, pertinentes et limitées à ce qui est nécessaire
- conservées sous une forme permettant l’identification des personnes concernées pendant une durée donnée
Quels sont les grands principes du RGPD ?
Le RGPD s’articule autour de 4 principes clés : le consentement, la transparence, le droit des personnes et la responsabilité. Le règlement s’applique à tous les organismes, privé ou public, établis sur le territoire de l’Union Européenne et ce, quels que soient leur taille et leur secteur d’activité. Aussi, il s’exerce à tout organisme implanté hors de l’UE mais dont l’activité cible des clients européens.
Pour être conforme au RGPD, votre site internet doit, entre autre, répondre aux 2 obligations suivantes.
- Demander le consentement des visiteurs :
Le consentement de la personne concernée désigne toute manifestation de volonté par laquelle la personne accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. Ce consentement doit être demandé explicitement à tous les internautes qui consultent votre site internet.
Ainsi, sur tous vos formulaires de contact vous devez avoir une case à cocher pour demander le consentement des internautes quant à la collecte de leurs données. L’internaute clique lui-même sur la case “j’autorise” ou “je refuse”.
- Informer le visiteur :
Lorsque des données à caractère personnel sont traitées à des fins de prospection, la personne concernée doit avoir le droit, à tout moment et sans frais, de s’opposer à ce traitement par la présence d’une page internet facile d’accès nommée “Politique de confidentialité”.
Si votre site utilise des cookies, il faut prévoir un bandeau qui s’affiche lorsqu’un internaute arrive sur le site. Selon l’objet du cookie ou du traceur que vous utilisez sur votre site, il est nécessaire, soit d’informer l’internaute de son existence, soit d’obtenir son consentement.
Responsable du traitement, sous-traitant et autorités de contrôle
Un traitement définit toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel (collecte, enregistrement …).
Le responsable du traitement des données est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement. Il doit veiller au respect des principes relatifs au traitement des données à caractère personnel et est en mesure de démontrer que la personne concernée a donné son consentement.
Le sous-traitant est la personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement.
La CNIL (Commission Nationale Informatique et Libertés) a été instituée en France en 1978. Il s’agit de la 1re autorité administrative indépendante. Son rôle est de garantir le respect de la loi informatique et libertés adoptée la même année. Avec l’utilisation croissante de l’informatique et d’internet dans notre quotidien, les usages ont évolué et la réglementation aussi. Le RGPD s’inscrit dans la continuité de cette loi.
Aujourd’hui, les missions principales de la CNIL sont d’informer, protéger les droits, accompagner, conseiller, anticiper, innover, contrôler et sanctionner.
Une mauvaise gestion des données personnelles des utilisateurs peut vous exposer à des sanctions importantes allant d’un simple rappel à l’ordre à une amende administrative de l’ordre de millions d’euros. Depuis son entrée en vigueur en mai 2018 la CNIL européenne a infligé plus de 2,5 milliards d’euros d’amendes pour des manquements au RGPD.
Sources : https://www.cnil.fr/fr/reglement-europeen-protection-donnees https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd https://www.cnil.fr/fr/les-pouvoirs-de-la-formation-restreinte https://www.blogdumoderateur.com/cnil-bilan-500-millions-euros-amendes-depuis-2018/ https://www.anthedesign.fr/creation-de-sites-internet/site-internet-conforme-au-rgpd
