Que signifie le sigle RGPD ?

Le sigle RGPD désigne le Règlement général sur la protection des données (le Règlement (UE) 2016/679), qui décrit les principes à respecter pour traiter les données personnelles en toute légalité (y compris les recueillir, les utiliser, les protéger ou interagir avec elles de façon générale).

L’objectif du RGPD est de renforcer la protection des données pour toutes les personnes dont les données personnelles relèvent de son champ d’application, afin de leur redonner le contrôle de leurs données personnelles.

Que comprennent exactement les « données personnelles » ?

Dans le cadre du RGPD, les données personnelles désignent toutes les données qui se rapportent à une personne vivante identifiée ou identifiable. Ces données incluent donc des informations qui, lorsqu’elles sont recueillies ensemble, peuvent permettre d’identifier une personne.

Elles incluent même des données pseudonymisées ou chiffrées, dans la mesure où la pseudonymisation ou le chiffrement est réversible. Cela signifie que, pour être en conformité avec les obligations en matière de protection des données prévues par le RGPD, les clés de déchiffrement et les données pseudonymisées doivent être conservées séparément.

Les données personnelles incluent par exemple les données élémentaires relatives à l’identité d’une personne (comme son nom), les données de santé, les données génétiques et biométriques, les données Web telles que les adresses IP et les adresses e-mail personnelles, ou encore les données relatives aux opinions politiques et à l’orientation sexuelle.

Les données personnelles n’incluent pas les numéros d’immatriculation des sociétés, les adresses e-mail génériques des sociétés telles que info@societe.com et les données anonymisées.

Définitions de termes particuliers utilisés ci-après

Le terme « utilisateur » désigne ici une personne physique (également appelée la personne concernée) dont les données personnelles sont traitées par un responsable du traitement ou un sous-traitant.
Le terme « responsable du traitement » désigne toute personne physique ou morale qui participe à la définition des objectifs et des moyens du traitement des données à caractère personnel.
Le terme « sous-traitant » désigne toute personne physique ou morale qui participe au traitement des données à caractère personnel pour le compte du responsable du traitement.

Par exemple, sur Internet, une société peut recueillir des informations sur les utilisateurs par le biais de son site Web et les conserver à l’aide d’un service cloud tiers. Dans ce scénario, la société est le responsable du traitement et l’organisation qui met à disposition le service cloud est le sous-traitant.

Situations dans lesquelles le RGPD s’applique

Le RGPD s’applique lorsque :

une entité est établie dans l’UE (y compris lorsque le traitement a lieu hors de l’UE) ;
une entité établie hors de l’UE propose des biens ou des services (y compris à titre gratuit) à des personnes physiques qui se trouvent dans l’UE. Cette entité peut être une agence gouvernementale, une entreprise privée ou publique, une personne physique ou une organisation à but non lucratif ; ou lorsque
une entité établie hors de l’UE effectue un suivi du comportement de personnes physiques qui se trouvent dans l’UE, dans la mesure où ce suivi porte sur leur comportement au sein de l’UE.

Le RGPD s’applique donc à toutes les sociétés ou presque, ce qui signifie qu’il est susceptible de s’appliquer à votre organisation même lorsque celle-ci n’est pas établie dans l’UE. D’après un sondage réalisé par PwC, le RGPD est d’ailleurs l’une des principales priorités en matière de protection des données pour 92 % des sociétés américaines interrogées.

On pense souvent à tort que les mesures de protection prévues par le RGPD couvrent seulement les utilisateurs qui se trouvent dans l’UE, alors que ces mesures couvrent également les utilisateurs qui se trouvent hors de l’UE lorsque le responsable du traitement est établi dans l’UE. Si vous êtes un responsable du traitement établi dans l’UE, vous devez donc appliquer les mesures prévues par le RGPD, par défaut, à TOUS vos utilisateurs.

Le RGPD est entré pleinement en vigueur le 25 mai 2018.

Le champ d’application matériel et territorial du RGPD est énoncé aux articles 2 et 3 du RGPD. Pour déterminer si une activité de traitement particulière échappe à son champ d’application, nous devons prendre en compte deux aspects.

Champ d’application matériel

Le RGPD s’applique au traitement des données à caractère personnel. Par conséquent, il ne s’applique pas aux données sur les sociétés, telles que le nom et l’adresse d’une société. Soyez tout de même prudent, car une société emploie habituellement des « personnes physiques ». Les données qui se rapportent à ces personnes sont considérées comme des données à caractère « personnel », qu’elles soient traitées dans le cadre d’une relation entre une entreprise et un consommateur (B2C) ou entre deux entreprises (B2B).

Par ailleurs, les données personnelles sont exclues du champ d’application du RGPD lorsqu’elles sont traitées :

par des États membres dans le cadre de la politique étrangère et de sécurité commune de l’UE ;
par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces ;
par les institutions, organes et organismes de l’UE ;
par une personne physique dans le cadre d’une activité strictement personnelle ou domestique.

En pratique, la seule exception pertinente est la dernière. Par exemple, si vous recueillez les données personnelles de vos amis pour alimenter votre répertoire téléphonique personnel, vous n’êtes pas tenu de respecter le RGPD.

Champ d’application territorial

Nous avons déjà mentionné les conditions d’application du RGPD du point de vue territorial, qui s’ajoutent aux autres conditions exposées ci-dessus.

Pour qu’une activité de traitement ne soit pas concernée par le RGPD, elle doit donc remplir toutes les conditions suivantes :

le responsable du traitement (ou le sous-traitant) n’est pas établi dans l’UE. Gardez toujours à l’esprit que le responsable du traitement (ou le sous-traitant) peut également être une succursale établie dans l’UE d’une société non établie dans l’UE. Dans ce cas, le RGPD s’applique pleinement, même lorsque la succursale n’est pas dotée de la personnalité juridique ;
le traitement ne se rapporte pas à une offre de biens ou de services (y compris à titre gratuit) à des utilisateurs qui se trouvent dans l’UE ou au suivi de leur comportement au sein de l’UE ;
le responsable du traitement n’est pas établi dans un endroit situé hors de l’UE où le droit de l’UE s’applique en raison du droit public international.

Examinons quelques exemples pratiques :

Une société établie aux États-Unis, « A », vend des biens à des consommateurs de l’UE (→ le RGPD s’applique) et engage une société établie aux États-Unis, « B », pour réaliser des activités d’analyse de marché et de statistiques. La société B est-elle tenue de se conformer au RGPD, bien qu’elle ne soit pas établie dans l’UE et qu’elle ne vende pas de biens ou de services à des consommateurs de l’UE ? La réponse est probablement oui, si les activités d’analyse de marché et de statistiques nécessitent un « suivi du comportement » des consommateurs qui se trouvent dans l’UE.
Les employés du Consulat italien de New York doivent-ils se conformer au RGPD ? Oui, car le RGPD leur est applicable en vertu du « droit public international ».
Une société établie en Chine qui vend des biens sur un site Web dont les textes sont écrits exclusivement en chinois doit-elle se conformer au RGPD parce qu’il est possible, en pratique, que certaines personnes chinoises qui se trouvent dans l’UE passent commande sur son site Web ? Notre réponse serait en principe non, excepté lorsqu’il peut être prouvé que la société fait affaires avec des consommateurs qui se trouvent dans l’UE ou qu’elle s’adresse spécifiquement à eux (par exemple, en les informant que la « livraison dans l’UE » ou le « paiement depuis un compte bancaire européen » est possible).

Principales exigences du RGPD et moyens de s’y conformer

Base juridique du traitement des données

En vertu du RGPD, le traitement des données n’est autorisé que lorsqu’il a au moins une base juridique.

Les bases juridiques sont les suivantes :

L’utilisateur a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.
Le traitement des données est nécessaire à l’exécution d’un contrat conclu avec l’utilisateur ou à l’exécution de mesures précontractuelles (demandées par l’utilisateur).
Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.
Le traitement est nécessaire à la sauvegarde des intérêts vitaux de l’utilisateur ou d’autrui.
Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relève de l’exercice de l’autorité publique dont est investi le responsable du traitement.
Le traitement est nécessaire aux intérêts légitimes du responsable du traitement ou d’un tiers, excepté lorsque prévalent les intérêts ou les libertés et droits de l’utilisateur, notamment lorsqu’il s’agit d’un enfant.

Les organisations doivent obtenir le consentement vérifiable des utilisateurs.

En ce qui concerne le consentement des enfants, les organisations doivent obtenir le consentement vérifiable d’un parent ou tuteur, excepté lorsque le service proposé est un service de prévention ou de conseil. Les organisations doivent prendre des mesures raisonnables (compte tenu des moyens technologiques disponibles) pour vérifier que la personne qui donne son consentement est bien titulaire de la responsabilité parentale à l’égard de l’enfant.

De façon générale, pour obtenir un consentement à un traitement des données, les organisations ne doivent pas utiliser de termes trop compliqués ou indéchiffrables. Elles doivent donc éviter le jargon (y compris juridique) lorsqu’il n’est pas nécessaire. Cela signifie que les conditions générales et les politiques de confidentialité doivent être énoncées clairement (consultez la nôtre ici), en utilisant un langage et des clauses compréhensibles, pour permettre aux utilisateurs d’être pleinement conscients de ce à quoi ils consentent et des conséquences de leur consentement.

Le RGPD interdit spécifiquement les cases pré-cochées

Les organisations doivent faire preuve de transparence en ce qui concerne les finalités de la collecte de données et le consentement doit être « explicite et donné librement ». Cela signifie que le mécanisme d’obtention du consentement doit être dénué d’ambiguïté et impliquer un acte volontaire et clair. En particulier, le RGPD interdit l’usage de cases pré-cochées et de mécanismes similaires, qui sont activés par défaut et que l’utilisateur doit désactiver s’il ne souhaite pas donner son consentement. Le RGPD accorde également à l’utilisateur le droit de retirer son consentement ; il doit donc être aussi facile pour l’utilisateur de retirer son consentement que de le donner.

Le RGPD accorde une haute importance au consentement, c’est pourquoi il est obligatoire d’en tenir un registre clair et d’être en mesure de prouver que l’utilisateur a donné son consentement. En cas de problème, la charge de la preuve revient au responsable du traitement ; il est donc essentiel de tenir un registre précis.

Le registre devrait inclure, pour chaque utilisateur :

la personne qui a donné le consentement ;
le moment où l’utilisateur a donné son consentement et la façon dont celui-ci a été obtenu ;
le formulaire de collecte du consentement qui lui a été présenté à ce moment-là ;
les conditions et les documents juridiques qui étaient en vigueur à ce moment-là.

Voici quelques mauvais et bons exemples en matière de tenue du registre des consentements :

Tenue de registre non conforme	Tenue de registre conforme
Tenir une simple feuille de calcul contenant les noms des clients et indiquant s’ils ont ou non donné leur consentement	S’assurer de conserver un exemplaire du formulaire daté et signé par le client qui montre quel acte il a effectué pour donner son consentement à un traitement particulier.
Conserver simplement la date et l’heure d’obtention du consentement ainsi que l’adresse IP depuis laquelle il a été donné, avec un lien Web vers votre formulaire actuel de capture de données et votre politique de confidentialité.	Conserver des registres exhaustifs qui incluent l’identifiant utilisateur et les données soumises ainsi que l’horodatage. Conserver également un exemplaire de la version du formulaire de capture de données et tout autre document pertinent utilisé à cette date.

Bien qu’il soit obligatoire de tenir son registre à jour, cela peut représenter un défi sur le plan technique. Notre solution de gestion du consentement Consent Database simplifie ce processus. Grâce à elle, vous pouvez facilement consulter, gérer et exporter les consentements enregistrés. Pour en savoir plus, cliquez ici.

Une dernière précision : le consentement n’est pas la seule base juridique sur laquelle une organisation peut traiter les données utilisateur. Dans certains cas, les sociétés peuvent s’appuyer sur d’autres bases juridiques (prévues par le RGPD) pour effectuer une activité de traitement de données. (Toutefois, il est préférable de consulter un avocat pour vous aider à déterminer si une autre base juridique est susceptible de s’appliquer à votre traitement.) Cela dit, il y a toujours des activités de traitement de données pour lesquelles le consentement est la seule option, la meilleure ou la plus sûre.

Une autre loi de l’UE qui mérite d’être mentionnée ici est la Directive ePrivacy (également appelée la Loi cookies). Cette loi s’applique toujours et n’a pas été abrogée par le RGPD. À l’avenir, la Directive ePrivacy sera remplacée par le Règlement ePrivacy, qui s’appliquera en plus du RGPD ; le futur règlement devrait perpétuer les mêmes valeurs que la directive.

La Loi cookies exige d’obtenir le consentement éclairé d’un utilisateur avant de déposer des cookies sur son appareil et de le suivre à la trace.

La Loi cookies exige d’obtenir le consentement éclairé d’un utilisateur avant de déposer des cookies sur son appareil et de le suivre à la trace. Pour en savoir plus sur la Loi cookies, cliquez ici.

💡 Pour en savoir plus sur les règles de l’UE en matière de consentement aux cookies qui s’appliquent dans chaque pays, consultez notre Aide-mémoire sur le consentement aux cookies.

Droits des utilisateurs

Le droit à l’information

Les organisations doivent fournir aux utilisateurs des informations sur les activités de traitement de données qu’ils effectuent. Ces informations doivent être fournies au moment de la collecte des données personnelles, généralement par le biais d’une politique ou déclaration de confidentialité. Ces informations doivent être concises, transparentes, compréhensibles, faciles d’accès, écrites dans un langage clair et simple (en particulier si elles s’adressent à un enfant) et mises à disposition gratuitement.

Lorsque les données sont recueillies directement auprès de l’utilisateur auquel elles se rapportent, les informations sur la confidentialité doivent être fournies à l’utilisateur au moment de la collecte des données. Toutefois, si les données personnelles sont recueillies auprès d’une autre source que l’utilisateur auquel elles se rapportent, les informations sur la confidentialité doivent être fournies à l’utilisateur dans un « délai raisonnable » après la collecte des données. En général, cette période ne doit pas dépasser un mois ; si vous utilisez les données pour communiquer avec l’utilisateur, vous devez lui fournir ces informations au plus tard lors de votre première prise de contact.

Le droit d’accès

Les utilisateurs disposent d’un droit d’accès à leurs données personnelles et à des informations sur la façon dont elles sont traitées. Si l’utilisateur le demande, le responsable du traitement doit fournir un aperçu des catégories de données qui sont traitées, un exemplaire des données dont il dispose et des informations détaillées sur le traitement. Ces informations détaillées doivent inclure la finalité du traitement, la façon dont les données ont été obtenues et les tiers avec lesquels elles ont été partagées.

L’organisation doit par ailleurs fournir gratuitement à l’auteur de la demande un exemplaire de ses données personnelles. (Pour tout exemplaire supplémentaire, elle peut lui facturer des frais raisonnables.) Les données demandées doivent être fournies à l’utilisateur dans les meilleurs délais et au plus tard un mois après la réception de la demande ; le nombre de jours exact dont dispose l’organisation pour honorer une demande dépend du mois au cours duquel la demande a été effectuée.

Le droit d’accès est étroitement lié au droit à la portabilité des données, mais ces deux droits sont différents. Il est donc important de distinguer clairement ces deux droits dans votre politique de confidentialité.

Le droit de rectification

Les utilisateurs disposent d’un droit de rectification de leurs données personnelles inexactes ou incomplètes. Ce droit implique également que la rectification doit être signalée à tout destinataire tiers qui participe au traitement des données concernées, excepté lorsque cela est impossible ou présente une difficulté disproportionnée. Si l’utilisateur le demande, l’organisation doit également lui fournir des informations sur ces destinataires tiers.

Le délai de réponse à une demande peut être prolongé de deux mois lorsque la demande est complexe ou lorsque l’utilisateur a effectué de nombreuses demandes. Une réponse expliquant pourquoi cette prolongation est nécessaire doit être apportée à l’utilisateur au plus tard un mois après la réception de sa demande. Les demandes doivent être honorées dans les meilleurs délais et au plus tard un mois après la réception de la demande.

Dans la plupart des cas, les organisations doivent honorer une demande de rectification sans facturer de frais. Toutefois, lorsqu’une demande se révèle « manifestement infondée ou excessive », il est possible de demander des « frais raisonnables » pour accéder à la demande ou de refuser de la traiter. Dans ces deux scénarios, la décision doit avoir une justification légitime. En cas de refus d’une demande, l’utilisateur doit être informé du refus (et de la justification) dans les meilleurs délais et au plus tard un mois après la réception de la demande.

Le droit d’opposition

En vertu du RGPD, les utilisateurs disposent d’un droit d’opposition à certaines activités de traitement de leurs données à caractère personnel effectuées par le responsable du traitement. En résumé, l’utilisateur peut s’opposer au traitement de ses données lorsque ce traitement repose sur l’intérêt légitime du responsable du traitement, l’exécution d’une mission d’intérêt public, l’exercice de l’autorité publique, une finalité de recherche scientifique ou historique, ou encore une finalité de statistiques. L’utilisateur doit justifier son opposition, excepté lorsque le traitement est effectué à des fins de marketing direct, auquel cas aucune justification n’est nécessaire à l’exercice de ce droit.

En cas d’opposition par un utilisateur au traitement de ses données à caractère personnel et en l’absence de motif de refus, l’activité de traitement doit cesser. Bien que les activités (y compris le stockage) relatives au traitement auquel s’oppose l’utilisateur doivent cesser, l’effacement n’est pas toujours pertinent lorsque les données sont traitées à d’autres fins (y compris l’exécution d’une obligation légale ou contractuelle) qui nécessitent que les données soient conservées.

Les demandes doivent être honorées dans les meilleurs délais et au plus tard un mois après la réception de la demande. Le délai de réponse à une demande peut être prolongé de deux mois lorsque la demande est complexe ou lorsque l’utilisateur a effectué de nombreuses demandes. Une réponse expliquant pourquoi cette prolongation est nécessaire doit être apportée à l’utilisateur au plus tard un mois après la réception de sa demande.

Dans la plupart des cas, les organisations doivent honorer une demande d’exercice du droit d’opposition (en l’absence de motif de refus) sans facturer de frais. Toutefois, lorsqu’une demande se révèle « manifestement infondée ou excessive », il est possible de demander des « frais raisonnables » pour accéder à la demande ou de refuser de la traiter. Dans ces deux scénarios, la décision doit avoir une justification légitime. En cas de refus d’une demande, l’utilisateur doit être informé du refus (et de la justification) dans les meilleurs délais et au plus tard un mois après la réception de la demande.

Le droit à la portabilité des données

Les utilisateurs disposent du droit d’obtenir leurs données personnelles (dans un format lisible par machine) afin de les transmettre d’un responsable du traitement à un autre, sans que le premier y fasse obstacle. Ce droit s’applique à la fois aux données « fournies » et aux données « observées ». Ce droit s’applique seulement aux données personnelles ; par conséquent, il ne s’applique pas aux données réellement anonymes (soit aux données qui ne permettent pas de remonter jusqu’à l’utilisateur).

Dans la plupart des cas, les organisations doivent honorer une demande sans facturer de frais. Toutefois, lorsqu’une demande se révèle « manifestement infondée ou excessive », il est possible de demander des « frais raisonnables » pour accéder à la demande ou de refuser de la traiter. Dans ces deux scénarios, la décision doit avoir une justification légitime. En cas de refus d’une demande, l’utilisateur doit être informé du refus (et de la justification) dans les meilleurs délais et au plus tard un mois après la réception de la demande.

Le droit à l’effacement

Lorsque les données ne sont plus nécessaires à la finalité originelle du traitement pour lequel elles ont été recueillies, lorsque les utilisateurs ont retiré leur consentement au traitement ou lorsque les données personnelles ont fait l’objet d’un traitement illicite, les utilisateurs ont le droit de demander l’effacement de leurs données et la cessation de la diffusion de leurs données. Les demandes doivent être honorées dans les meilleurs délais et au plus tard un mois après la réception de la demande.

L’exercice du droit à l’effacement peut être refusé lorsque les données personnelles sont :

traitées à des fins d’archivage dans l’intérêt public (par exemple, à des fins de recherche scientifique) ;
nécessaires à des fins de défense juridique ;
nécessaires à la conformité avec une obligation légale ;
nécessaires à l’exécution d’une mission d’intérêt public ;
traitées dans l’exercice de l’autorité publique dont est investi le responsable du traitement ;
nécessaires à l’exercice du droit à la liberté d’expression ;
traitées à des fins de santé dans l’intérêt public.

Le droit à la limitation du traitement

Un utilisateur a le droit de demander la limitation du traitement de ses données à caractère personnel lorsque :

il a contesté l’exactitude de ses données ;
il s’est opposé au traitement et l’organisation étudie sa demande pour déterminer si elle a un motif légitime qui prévaut sur le droit d’opposition ;
le traitement est illicite, mais l’utilisateur en demande la limitation et non l’effacement ;
les données ne sont plus nécessaires, mais l’utilisateur en a besoin pour la constatation, l’exercice ou la défense de droits en justice.

La limitation doit être signalée à tout destinataire tiers qui participe au traitement des données concernées, excepté lorsque cela est impossible ou présente une difficulté disproportionnée. Si l’utilisateur le demande, l’organisation doit également lui fournir des informations sur ces destinataires tiers.

Dans la plupart des cas, les organisations doivent honorer une demande sans facturer de frais. Toutefois, lorsqu’une demande se révèle « manifestement infondée ou excessive », il est possible de demander des « frais raisonnables » pour accéder à la demande ou de refuser de la traiter. Dans ces deux scénarios, la décision doit avoir une justification légitime. En cas de refus d’une demande, l’utilisateur doit être informé du refus (et de la justification) dans les meilleurs délais et au plus tard un mois après la réception de la demande.

Les droits relatifs à la prise de décision individuelle automatisée et au profilage

Un utilisateur a le droit de ne pas faire l’objet d’une décision fondée sur un traitement automatisé ou un profilage, lorsque cette décision produit des effets juridiques le concernant ou d’autres effets significatifs qui l’affectent de façon similaire.

Les organisations ne peuvent avoir recours à une prise de décision individuelle automatisée que lorsqu’elle est nécessaire à l’exécution d’un contrat, lorsque le droit de l’État membre de l’UE applicable au responsable du traitement l’y autorise, lorsque la décision ne produit aucun effet juridique ni aucun autre effet significatif qui affecte l’utilisateur de façon similaire, ou lorsque l’utilisateur y a explicitement consenti. Pour prendre des décisions individuelles automatisées fondées sur des données de catégories particulières, vous devez obtenir le consentement explicite de l’utilisateur, excepté lorsque le traitement est nécessaire pour des motifs d’intérêt public important.

Transferts de données transfrontaliers

Le RGPD n’autorise les transferts de données des résidents de l’UE hors de l’Espace économique européen (EEE) que lorsqu’ils sont conformes aux conditions prévues. Ces conditions prévoient que la région ou le pays vers lequel les données sont transférées doit assurer un niveau « adéquat » de protection des données personnelles au regard des normes de l’UE. Dans le cas contraire, les transferts peuvent être autorisés à condition d’utiliser des clauses contractuelles types (SCC) ou des règles d’entreprise contraignantes (BCR).

Le RGPD n’autorise les transferts de données des résidents de l’UE hors de l’Espace économique européen (EEE) que lorsqu’ils sont conformes aux conditions prévues

Dans le cas des transferts de données vers les États-Unis, l’obtention du consentement éclairé de l’utilisateur est indispensable. (Ce consentement doit être fondé sur des informations suffisamment précises, y compris sur l’insuffisance de la protection des données dans le pays tiers.)

Protection des données dès la conception et par défaut

La protection des données doit être intégrée dès le début de la conception et du développement des processus et des infrastructures de l’entreprise. Cela signifie que les paramètres en matière de protection de la vie privée doivent être « élevés » par défaut et que des mesures doivent être mises en œuvre pour garantir que le cycle de vie du traitement des données soit conforme aux exigences du RGPD.

Notification de violation

Le responsable du traitement doit notifier toute violation de données à l’autorité de contrôle 72 heures au plus tard après en avoir pris connaissance. Lorsque le traitement est effectué par un sous-traitant pour le compte du responsable du traitement, le sous-traitant doit notifier la violation de données au responsable du traitement immédiatement après en avoir pris connaissance. En vertu de cette règle, les utilisateurs doivent également être informés de la violation de données (dans le même délai de 72 heures), excepté lorsque les données qui ont fait l’objet de la violation sont protégées par chiffrement (et donc incompréhensibles pour l’auteur de la violation) ou, de façon générale, lorsqu’il est peu probable que la violation engendre un risque pour les droits et libertés des utilisateurs. Dans tous les cas, le responsable du traitement doit tenir un registre des violations qui se sont produites afin d’être en mesure de prouver à l’autorité de contrôle sa conformité avec ces règles.

Les délégués à la protection des données

Le Délégué à la protection des données (DPO) est une personne possédant des connaissances spécialisées de la législation en matière de protection des données dont le rôle consiste notamment à aider le responsable du traitement ou le sous-traitant à vérifier le respect du RGPD au niveau interne et à superviser la stratégie et la mise en œuvre de la protection des données. Le DPO doit aussi disposer de compétences en matière de gestion des processus informatiques, de sécurité des données et d’autres sujets essentiels relatifs au traitement des données à caractère personnel, et notamment des données sensibles.

Le RGPD exige spécifiquement la désignation d’un DPO lorsque :

l’organisation effectue un suivi régulier et systématique à grande échelle des utilisateurs ;
le traitement est effectué par une autorité publique (à l’exception des juridictions ou des autorités judiciaires indépendantes) ; ou
l’organisation effectue des opérations complexes à partir des données utilisateur (en particulier, des données utilisateur sensibles).

La désignation du DPO ne dépend donc pas seulement du nombre d’employés, mais aussi de la nature de l’activité de traitement des données. Si votre organisation ne relève pas de ces catégories, la désignation d’un DPO n’est pas obligatoire.

Tenue du registre des activités de traitement

Le RGPD exige du responsable du traitement et du sous-traitant qu’ils tiennent un registre à jour, « complet et approfondi » des activités de traitement des données qu’ils effectuent.

Un registre complet et approfondi des activités de traitement est explicitement exigé lorsque les activités de traitement des données :

ne sont pas occasionnelles ;
pourraient engendrer un risque pour les droits et libertés des utilisateurs ;
impliquent le traitement de « catégories particulières de données » ; ou
sont effectuées par une organisation de plus de 250 employés.

Cette obligation s’applique donc à tous les responsables du traitement et sous-traitants ou presque.

Le registre des activités de traitement doit se présenter sous une forme écrite. Bien que les formats papier et électronique soient tous deux acceptables pour la tenue du registre, la meilleure pratique consiste à employer des méthodes électroniques pour simplifier les modifications.

Le registre du responsable du traitement doit inclure :

le nom et les coordonnées du responsable du traitement et, le cas échéant, de son représentant et son DPO ;
la finalité des activités de traitement ;
la description des diverses catégories d’utilisateurs et de données ;
les catégories de destinataires de données, y compris les destinataires établis dans des pays tiers (non membres de l’UE) et les organisations internationales ;
les transferts de données personnelles vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays ou de cette organisation ainsi que les documents attestant des garanties appropriées (le cas échéant) ;
les délais prévus pour l’effacement des diverses catégories de données (dans la mesure du possible) ;
une description générale des mesures de sécurité techniques et organisationnelles (dans la mesure du possible).

Le registre du sous-traitant doit inclure :

le nom et les coordonnées du responsable du traitement et du sous-traitant qui agit pour son compte et, le cas échéant, le représentant et le DPO du sous-traitant ou du responsable du traitement ;
les catégories de traitements effectués pour le compte de chaque responsable du traitement ;
les transferts de données personnelles vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays ou de cette organisation ainsi que les documents attestant des garanties appropriées (le cas échéant) ;
les délais prévus pour l’effacement des diverses catégories de données (dans la mesure du possible) ;
une description générale des mesures de sécurité techniques et organisationnelles (dans la mesure du possible).

Mise en garde

Même lorsque vos activités de traitement ne relèvent pas des situations décrites ci-dessus, votre devoir d’information envers les utilisateurs (qui résulte des articles 13 et 14 du RGPD) vous oblige à tenir un registre élémentaire qui indique les données que vous recueillez, la finalité de la collecte, l’ensemble des parties impliquées dans le traitement et la période de conservation des données. Cette obligation s’applique à tous.

Vous pourriez trouver utile d’effectuer des audits informationnels réguliers pour déterminer de quelles données dispose votre organisation. En plus de vous aider à satisfaire vos obligations de tenue de registre, cette pratique vous facilite l’examen et l’optimisation de vos procédures de traitement des données.

Notre Registre des activités de traitement des données est également très utile à cet égard, car elle simplifie GRANDEMENT le processus technique associé à la création et la tenue à jour de votre registre des activités de traitement. Pour en savoir plus sur l’aide qu’elle peut vous apporter, cliquez ici ou consultez directement la vidéo et le guide de configuration en cliquant ici.

Analyse d’impact relative à la protection des données (AIPD)

L’analyse d’impact relative à la protection des données (AIPD) est un processus employé pour aider une organisation à se conformer au RGPD et pour garantir qu’elle mette en pratique le principe de responsabilité et le principe de protection de la vie privée dès la conception et par défaut. Le processus d’AIPD doit être enregistré par écrit. Bien que la publication de l’AIPD ne soit pas une exigence légale générale prévue par le RGPD, il est suggéré au responsable du traitement d’envisager de publier tout ou partie de son AIPD en signe de transparence et de responsabilité, notamment dans les cas où des membres du public sont affectés (par exemple, lorsqu’une autorité publique effectue une AIPD).

Une AIPD efficace est utile pour satisfaire l’exigence de « protection de la vie privée dès la conception », car elle permet aux organisations de repérer et de corriger les problèmes à un stade précoce et, ainsi, de limiter à la fois les risques pour la sécurité des données des utilisateurs et les risques d’amende, de sanction et d’atteinte à la réputation auxquels ces problèmes pourraient exposer l’organisation. L’AIPD n’est obligatoire que dans les cas où l’activité de traitement des données est susceptible d’engendrer un risque élevé pour les utilisateurs (notamment lors de l’introduction d’une nouvelle technologie de traitement).

Toutefois, lorsque vous ne savez pas avec certitude si votre activité de traitement peut être qualifiée d’activité à « risque élevé », il est recommandé d’effectuer tout de même une AIPD, car cet outil peut être utile pour vous assurer de respecter la loi.

Les activités de traitement des données à « risque élevé » incluent :

le traitement à grande échelle de données sensibles ;
la surveillance systématique d’une zone accessible au public (p.ex. à l’aide d’un système de vidéosurveillance) ;
les situations dans lesquelles des évaluations automatisées approfondies des données personnelles sont effectuées en vue d’influencer la prise de décisions qui peuvent affecter la vie de l’utilisateur de façon significative.

Les AIPD peuvent également être exigées dans d’autres circonstances (sur la base d’une évaluation au cas par cas), et notamment lorsque le traitement porte sur des données qui concernent des personnes vulnérables (p.ex. des enfants ou des personnes âgées), lorsqu’il implique un transfert de données hors de l’UE ou lorsque les données sont utilisées à des fins de profilage (p.ex. des cotes de solvabilité). Pour en savoir plus sur les critères, cliquez ici [PDF].

L’AIPD devrait inclure :

une description complète des données traitées ;
la finalité de l’activité de traitement (et, si applicable, des informations sur les intérêts légitimes du responsable du traitement) ;
une évaluation de la portée et de la nécessité de l’activité de traitement au regard de la finalité ;
une évaluation des risques que l’activité présente pour les utilisateurs ;
les mesures mises en place pour faire face à ces risques.

Conséquences en cas de violation

Les conséquences légales en cas de violation du RGPD peuvent inclure des amendes pouvant s’élever jusqu’à 20 millions d’euros (20 M €) ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). Toutefois, les autres sanctions potentielles pouvant être prises à l’encontre des organisations qui se révèlent en situation de violation sont tout aussi inquiétantes. Ces sanctions incluent le rappel à l’ordre officiel (pour les organisations qui n’en sont qu’à leur première violation), les audits périodiques sur la protection des données ainsi que les dommages et intérêts en réparation.

Les conséquences légales en cas de violation du RGPD peuvent inclure des amendes pouvant s’élever jusqu’à 20 millions d’euros (20 M €) ou 4 % du chiffre d’affaires annuel mondial

Le RGPD accorde explicitement aux utilisateurs le droit d’introduire une réclamation auprès d’une autorité de contrôle lorsqu’ils estiment qu’un traitement de leurs données à caractère personnel a été réalisé en violation du RGPD. Ainsi, lorsqu’un cas de violation du RGPD lui est signalé, l’autorité de contrôle peut choisir de réaliser un audit des opérations de traitement des données de l’organisation concernée. Si cet audit révèle qu’une activité de traitement a été réalisée de façon illicite, l’organisation peut se voir non seulement imposer une amende, mais aussi interdire de poursuivre l’utilisation des données visées par le signalement et des autres données obtenues par les mêmes moyens. Cela signifie que si l’utilisation inappropriée portait sur la collecte d’adresses e-mail, l’organisation risque de se voir interdire d’utiliser l’intégralité de la liste d’adresses e-mail concernée.

Le RGPD accorde également aux utilisateurs le droit à la réparation de tout préjudice résultant d’une violation du RGPD par une organisation, ce qui leur permet d’introduire une action en justice à l’encontre de l’auteur d’une violation.

En quoi iubenda peut vous aider

Pour vous mettre en conformité, l’une des premières étapes consiste logiquement à vous assurer que vos documents soient conformes. Chez iubenda, nous adoptons une approche complète de la conformité avec le droit des données. Nous concevons nos solutions en tenant compte des règlements les plus stricts et mettons à votre disposition de nombreuses options de personnalisation de vos documents. De cette façon, nous vous aidons à respecter vos obligations légales, à protéger vos clients – en instaurant un climat de confiance et en renforçant votre crédibilité – et, ainsi, à réduire le risque de litige.

Voici ce dont vous avez besoin pour débuter votre mise en conformité complète :

Politique de confidentialité

Ce document juridique doit indiquer de quelle façon votre site Web ou application recueille, traite, conserve, partage et protège les données utilisateur, quelles sont les finalités de ces traitements, et de quels droits disposent les utilisateurs à cet égard.

Grâce à notre Générateur de Politique de Confidentialité et de Cookies, vous pouvez créer une politique de confidentialité précise et visuellement agréable, conçue avec soin par un avocat, qui s’intègre de façon harmonieuse à votre site Web ou application. Il vous suffit de cliquer sur un bouton pour ajouter l’une des nombreuses clauses pré-existantes ou d’utiliser le formulaire intégré pour rédiger vos propres clauses personnalisées.

La politique de confidentialité présente également une option qui vous permet d’inclure une politique relative aux cookies. (Celle-ci est nécessaire lorsque votre site Web ou application utilise des cookies.) Ces politiques peuvent être personnalisées selon vos besoins et sont mises à jour à distance par une équipe juridique internationale.

Pour plus d’informations sur les politiques de confidentialité, cliquez ici.

Privacy Controls and Cookie Solution

L’utilisation des cookies implique à la fois de traiter des données utilisateur et d’installer des fichiers sur l’appareil des utilisateurs. Il s’agit donc d’un sujet de préoccupation majeur en matière de droits des utilisateurs à la protection de leurs données. C’est pourquoi il est essentiel que votre site Web ou application soit conforme à la directive ePrivacy de l’UE (la Loi cookies). Pour répondre à ce besoin, nous avons créé notre solution complète de gestion des cookies Privacy Controls and Cookie Solution qui simplifie la mise en conformité avec les dispositions de la Loi cookies de l’UE. Il s’agit d’une solution de politique relative aux cookies et de gestion du consentement aux cookies (avec un bandeau cookies) facile à utiliser, rapide et qui ne demande pas d’investissement important.

Pour plus d’informations sur Privacy Controls and Cookie Solution, cliquez ici.

De nombreuses autorités de protection des données à travers l’UE ont renforcé leurs exigences et aligné leurs règles en matière de cookies et traqueurs sur les exigences du RGPD. Plus précisément, vous devez enregistrer les préférences de vos utilisateurs et en conserver la preuve.

Le Registre des Préférences Cookies et Consentements est désormais disponible dans la Privacy Controls and Cookie Solution. Cliquez ici pour plus d’informations sur la façon de l’activer dans Privacy Controls and Cookie Solution.

Registre des activités de traitement des données (gestion de la confidentialité au niveau interne)

En pratique, la satisfaction des exigences du RGPD peut représenter un défi technique. Cela est d’autant plus vrai en matière de gestion de la protection de la vie privée au niveau interne. Pour être conforme, vous devez être en mesure de suivre et de décrire :

les données que vous recueillez ;
les finalités de leur collecte ;
la base juridique de leur traitement ;
la politique de conservation des données appliquée pour chaque activité de traitement ;
les parties impliquées (au sein de votre organisation et en dehors) ;
les mesures de sécurité ;
les transferts de données hors de l’UE, le cas échéant ; et
toute autre information connexe qui s’applique dans l’ensemble de votre société, y compris aux données des employés.

Notre solution vous simplifie l’enregistrement et la gestion de toutes les activités de traitement de données effectuées au sein de votre organisation pour vous permettre de vous conformer facilement aux exigences du RGPD et de satisfaire vos obligations légales. Elle vous permet également de créer un registre des activités de traitement : ajoutez des activités de traitement en choisissant parmi plus de 1700 options prédéfinies, divisez-les par domaines (des subdivisions au sein desquelles les activités de traitement des données sont identiques), affectez-leur des sous-traitants et d’autres rôles. Vous pouvez également l’utiliser pour documenter les bases juridiques et pour tenir tout autre registre exigé par le RGPD.

Note : même lorsque vos activités de traitement ne relèvent pas des situations déjà décrites dans ce guide, votre devoir d’information envers les utilisateurs (qui résulte des articles 13 et 14 du RGPD) vous oblige à tenir un registre élémentaire qui indique les données que vous recueillez, la finalité de la collecte, l’ensemble des parties impliquées dans le traitement et la période de conservation des données. Cette obligation s’applique à tous.

De plus, bien que le RGPD soit une raison courante de faire plus d’efforts en matière de gestion de la protection de la vie privée au niveau interne, notre outil n’est pas conçu exclusivement pour la mise en conformité avec le RGPD. Il peut également être utilisé à des fins générales de gestion de la protection de la vie privée au niveau interne, y compris par des sociétés qui n’ont pas d’utilisateurs ou de clients au sein de l’UE.

Pour obtenir une liste complète des fonctionnalités de notre Registre des activités de traitement des données, cliquez ici ou lisez le guide disponible ici.

Gestion du consentement et tenue d’un registre détaillé s’y rapportant

Pour être en conformité avec les lois sur la protection de la vie privée, notamment le RGPD, les sociétés doivent conserver des preuves permettant de démontrer qu’elles ont obtenu le consentement des utilisateurs. Le registre des consentements doit indiquer :

le moment où le consentement a été donné ;
la personne qui a donné le consentement ;
les préférences de cette personne à ce moment-là ;
la déclaration de confidentialité ou toute autre information juridique qui lui a été présentée à ce moment-là ;
le formulaire de collecte du consentement qui lui a été présenté à ce moment-là.

La Consent Database simplifie ce processus en vous aidant à conserver facilement la preuve du consentement et à gérer le consentement et les préférences en matière de vie privée de chacun de vos utilisateurs. Notre solution vous permet de suivre tous les aspects du consentement (y compris la déclaration de confidentialité ou toute autre information juridique et le formulaire de consentement qui ont été présentés à l’utilisateur au moment du recueil de consentement) ainsi que les préférences connexes exprimées par l’utilisateur.

Pour l’utiliser, il vous suffit d’activer la Consent Database et d’en récupérer la clé API, puis de l’installer via les en-têtes HTTP ou le widget JS. C’est tout ! Vous pourrez alors à tout moment récupérer les données sur le consentement et les mettre à jour.

Pour obtenir une liste complète des fonctionnalités de notre outil Consent Database, cliquez ici ou lisez le guide disponible ici.

Mettez votre site en conformité avec le RGPD en quelques minutes

Veuillez noter que les lois sont susceptibles d’être modifiées ou mises à jour. Il est donc important de vous assurer que vos politiques répondent aux exigences les plus récentes. C’est pourquoi nous utilisons une méthode d’intégration, et NON de copier-coller. Avec cette méthode, vous avez l’assurance que votre politique reste à jour grâce au travail effectué à distance par notre équipe juridique.

Voir aussi

Pour en savoir plus sur la législation internationale, consultez notre aperçu des exigences légales, notre guide sur la directive ePrivacy (la Loi cookies) ou notre guide sur le droit des États-Unis
Texte intégral du RGPD
Consultez nos articles spécifiques destinés aux créateurs d’applications ou de sites e-commerce
Vous avez un scénario précis en tête ? Consultez nos guides complets sur les newsletters par e-mail ou nos guides sur les services destinés aux enfants
Vous utilisez des services de Google ? Consultez nos guides sur Google Analytics, Adsense et Ads

Qu’est-ce que le RGPD ? Un guide complet pour vous mettre en conformité