RGPD: ce que les PME doivent savoir en matière de confidentialité

Le nouveau règlement de l'UE sur la protection des données.

Le RGPD - Règlement Général sur la Protection des Données - fait l’actualité. Avec la date d’entrée en vigueur du 25 mai 2018, les grandes et petites entreprises non européennes sont préoccupées par la question de la conformité.

En tant que petite entreprise, même une seule personne, entreprise ou entreprise de taille moyenne, vous avez probablement encore beaucoup de questions. La richesse des informations est souvent contradictoire et rarement claire. Permettez-nous de partager avec vous nos idées sur la base de notre vaste expérience de travail avec les entreprises et les autorités européennes sur la protection des données personnelles.

Le RGPD s’applique-t-il à moi en tant que PME ?

Faites-vous affaire avec des personnes qui vivent en Europe? Alors la réponse courte est oui.

Le RGPD réglemente le traitement des données personnelles identifiables (DPI). Traiter, tout simplement, signifie collecter, stocker ou utiliser des informations. Étant donné que nos moyens de communication sont principalement électroniques aujourd’hui, vous collectez et stockez, d’une certaine manière, des informations qui identifient personnellement ces personnes.

Que sont les données personnelles identifiables (DPI) ?

La forme la plus simple est votre liste de contacts de messagerie qui rassemble et stocke le prénom, le nom et l’adresse e-mail d’une personne, contenant généralement une partie ou la totalité de ce nom. Même une adresse e-mail professionnelle, c’est-à-dire [email protected] est concernée.

D’autres exemples de DPI sont:

  • une adresse personnelle;
  • un numéro de carte d’identité;
  • données de localisation (par exemple la fonction de données de localisation sur un téléphone mobile) 1 ;
  • une adresse IP (Internet Protocol);
  • un identifiant de cookie 1 ;
  • l’identifiant publicitaire de votre téléphone;
  • données détenues par un hôpital ou un médecin, qui pourraient être un symbole identifiant de manière unique une personne.

Maintenant, vous demandez probablement…

Pourquoi est-il important de protéger les données personnelles identifiables (DPI) ?

Le RGPD vise à protéger contre une utilisation abusive potentielle, c’est-à-dire une utilisation non autorisée, de ces informations personnellement identifiables. Par cela, nous entendons soit par une entreprise dans le cadre de ses activités (envoi d’e-mails promotionnels non sollicités, vente de listes, profilage à des fins publicitaires ou décisionnelles, etc.), soit par une entité illicite qui vole les informations à un professionnel ou à une entreprise , l’utiliser pour commettre un délit (fraude, vol, diffamation, etc.)

Par conséquent, des informations telles qu’un numéro d’enregistrement d’entreprise, une adresse e-mail générique d’entreprise comme [email protected] , ou toute donnée anonymisée (par exemple, des données de recensement anonymisées), ne sont pas considérées comme des informations personnelles car elles ne présentent aucune risque pour une personne identifiable.

Les DPI sont-ils tous identiques ?

Non. Certaines informations sont considérées comme sensibles. Les données sensibles comprennent des informations sur la santé, la race, l’orientation sexuelle, les convictions religieuses, philosophiques ou politiques, le casier judiciaire et les données génétiques ou biométriques d’un individu. En d’autres termes, tout ce qui peut être utilisé contre eux et leur causer du tort. Ces informations sont soumises à des garanties supplémentaires.

Et si j’utilise une plateforme tierce pour traiter les données ?

Si vous êtes une petite entreprise engagée dans la vente de produits via une plateforme de vitrine, par exemple, vous n’êtes pas soumis au RGPD. Votre communication avec vos clients se fait via la plateforme, et les informations de commande, de paiement et d’expédition sont traitées par l’entreprise concernée.

Qu’est-ce que le RGPD m’oblige à faire ?

  • Dites aux gens quelles sont les données que vous collectez et ce que vous en faites - Vous devez définir cela clairement dans votre politique de confidentialité.

  • Demandez-leur d’accepter expressément cela - Vous ne pouvez pas supposer qu’ils sont d’accord et demandez-leur de dire s’ils ne le sont pas. Vous devez les obliger à adhérer. (C’était déjà une exigence pour les communications promotionnelles, couvertes par la directive sur la vie privée et les communications électroniques dans l’UE, et c’est aussi une exigence au Canada.) Ils peuvent changer d’avis à tout moment et se retirer et vous devez leur permettre de le faire facilement.

  • Permettez-leur d’accéder aux données que vous détenez sur eux - Si quelqu’un vous demande de montrer quelles données vous avez à leur sujet, vous devez pouvoir le faire facilement. Si quelqu’un vous demande d’envoyer ces informations à une autre entreprise, vous devez pouvoir le faire facilement. Si quelqu’un vous demande d’effacer les données que vous avez sur lui, vous devez pouvoir le faire facilement.

  • Passez en revue votre vulnérabilité aux violations et mettez en place des procédures en cas de violation - Vous devrez mettre en œuvre les mesures techniques et organisationnelles appropriées pour éviter d’éventuelles violations de données. En cas de violation de données, vous devez en informer l’Autorité de protection des données (APD) sans délai indu et au plus tard dans les 72 heures après avoir pris connaissance de la violation. Si la violation concerne des informations présentant un risque élevé pour les droits ou libertés de la ou des personnes, vous devrez en informer directement les personnes concernées.

  • Tenir des registres - Si vous traitez régulièrement des données, si elles sont sensibles ou constituent une menace pour les droits et libertés, vous devrez suivre les consentements et accords et vos activités de traitement, même si vous êtes une entreprise de moins de 250 employés.

  • Soyez responsable des informations que vous détenez - Si vous transférez les données vers un pays qui n’est pas approuvé par les autorités de l’UE, vous devez prendre les dispositions légales nécessaires pour que le traitement de ces données soit conforme au RGPD. Si vous traitez des données pour une autre entreprise, vous devez vous assurer qu’il est légalement très clair quelles sont les responsabilités de chaque entreprise. Si le traitement des données fait partie de votre cœur de métier, c’est-à-dire que vous le faites à grande échelle, et que les informations que vous traitez constituent une menace pour les droits et libertés des personnes concernées, vous devez nommer un délégué à la protection des données, même si vous êtes une entreprise de moins de 250 salariés.

  • Prouvez que vous devez traiter des informations sensibles - Le RGPD est explicite sur les cas dans lesquels vous pouvez le faire, et vous devrez montrer que vous correspondez à l’une des catégories et respectez toutes les restrictions nationales.

  • Soyez particulièrement prudent si les informations personnelles sont traitées automatiquement et peuvent conduire à une décision - Vous devez être en mesure de prouver qu’aucune discrimination n’est possible, et vous devez être en mesure de cesser le traitement automatique des informations d’une personne à la demande de leur.

  • Montrez que vous pouvez rester conforme - Vous devez avoir une stratégie de protection des données en place et vous assurer qu’elle est toujours à jour.

Mais comment faire tout ça ?

La conformité au RGPD est un processus qui nécessite un plan, des ressources, une compréhension complète du cadre et les bonnes compétences opérationnelles. En Europe, le RGPD n’est pas si important, car la protection des données personnelles n’a rien de nouveau. En fait, le nouveau règlement ne révolutionne pas la protection des données, mais la renforce et l’unifie dans les 28 États membres de l’UE.

En conséquence, il simplifie également l’environnement réglementaire pour le commerce international. Vous ne le savez peut-être pas, mais si vous faisiez déjà des affaires avec des personnes dans l’UE, vous étiez soumis aux réglementations de leur pays de résidence, qui pouvaient varier d’un endroit à l’autre. Maintenant, vous n’avez qu’un seul ensemble de règles à vous soucier, bien que l’application reste une responsabilité nationale.

Nous comprenons qu’il s’agit d’un casse-tête pour les entreprises nord-américaines. Découvrez comment nous pouvons mettre à profit nos 20 années d’expérience en Europe pour vous aider à atteindre la conformité GDPR continue. Contactez-nous

Remarque importante: Ce message ne constitue pas un avis juridique.

Références

  • Articles 2, 4, paragraphes 1 et 5, et considérants 14, 15, 26, 27, 29 et 30 du RGPD
  • WP 01245/07/EN, WP 136; avis sur la notion de données personnelles
  • Avis 05/2014 «Article 29» du groupe de travail sur les techniques d’anonymisation

1: L’utilisation de données de localisation ou de cookies est également couverte par une législation spécifique supplémentaire - la directive sur la vie privée et les communications électroniques (directive 2002/58/CE du Parlement européen et du Conseil du 12 Juillet 2002 (JO L 201 du 31.7.2002, p. 37) et règlement (CE) no 2006/2004) du Parlement européen et du Conseil du 27 octobre 2004 (JO L 364 du 9.12.2004, p. 1).