RGPD : Nouveau règlement à respecter sur la protection des données

Opinions et nouvelles

Publié le 22 mai 2018

RGPD : Nouveau règlement à respecter sur la protection des données

Retour au blogue Temps de lecture:
8 minutes

Afin de renforcer la protection et la surveillance des données des internautes, le Règlement général sur la protection des données (ou RGPD) de l’Union européenne entrera en vigueur le 25 mai 2018. Il s'agit d'un règlement prônant "l'autoresponsabilité" des entreprises et qui concerne tous les pays membres de l'Union européenne, ainsi que les entreprises qui font affaire avec des pays de l'UE.

Par ce règlement, la Commission européenne espère "redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises".

Comme la lecture du règlement complet s'adresse à un public bien averti, nous vous avons préparé un résumé ainsi que 6 recommandations pour vous conformer à ce nouveau règlement.


Les 4 principes clés du RGPD sont les suivants :

Le consentement

Le RGPD précise que “le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant”. Pour que le consentement soit considéré comme un "acte positif clair", il doit être donné par une action volontaire comme la signature d'un document ou l'action de cocher une case dans un formulaire. Une case qui serait précochée est donc non valide.

Ensuite, pour que le consentement soit "éclairé", il est primordial d'informer l'utilisateur avec le plus de précision possible de l'usage qui sera fait de ses informations. Dans le cas où les données que vous collectez auront divers usages, il est nécessaire de dissocier ces différents traitements et d'obtenir un consentement distinct pour chaque utilisation.

Enfin, vous devez également conserver une preuve de l'énoncé auquel l'utilisateur a adhéré au moment de donner son consentement.

Voici un exemple de consentement clair :

« En soumettant ce formulaire, vous acceptez que les données personnelles transmises soient collectées et utilisées par [nom de votre organisation] dans le but de personnaliser votre expérience de navigation et de vous envoyer des offres marketing personnalisées, conformément à la politique de confidentialité. Votre consentement pourra être révoqué en tout temps. »

La transparence

Le RGPD repose sur le principe de la transparence des entreprises vis-à-vis des utilisateurs. L'utilisation des données personnelles de vos clients et prospects demeure permise, mais il devient obligatoire d'informer les personnes concernées de l'usage qui sera fait de leurs informations.

Puisque la collecte des informations personnelles doit maintenant être justifiée, il n'est plus permis de collecter des informations supplémentaires, qui ne sont pas liées à votre offre de service. Ainsi, il est donc injustifié de demander un numéro de téléphone ou une adresse postale à un utilisateur qui s'inscrirait pour recevoir des offres promotionnelles par courriel.

Le droit des personnes

Avec l'adoption du RGPD, les données personnelles n'appartiennent plus aux compagnies qui les collectent, mais demeurent la propriété des individus concernés. Ainsi, selon ce règlement européen, tout utilisateur doit pouvoir exercer les droits suivants :

  • Accéder à ses données personnelles;
  • Savoir comment elles sont utilisées;
  • Demander à ce que d'éventuelles erreurs soient corrigées;
  • Limiter le traitement des données;
  • Obtenir et réutiliser ses données personnelles;
  • Refuser certaines utilisations;
  • Demander le retrait des données (aussi appelé le « droit à l’oubli »).

La responsabilité

Enfin, le RGPD vise à responsabiliser les entreprises qui collectent et utilisent des données. Ces dernières doivent donc prendre les mesures nécessaires pour assurer la sécurité des informations personnelles des utilisateurs. Cette notion est d'autant plus importante lorsque les entreprises utilisent les services d'un tiers pour collecter les données (logiciel, SAAS, etc.) ou lorsque les données sont échangées entre différentes instances pour être traitées.

Que requiert le RGPD?

À partir de mai 2018, toute entreprise doit pouvoir prouver que les données à caractère personnel qu'elle détient (qu'il s'agisse de numéros de téléphone, de courriels, d'IBAN, de données biométriques ou autres) sont protégées et surtout, qu'elles sont inexploitables en cas de vol.

Le RGPD requiert le libre consentement de l'utilisateur pour la collecte de ses données. Et pour que l'utilisateur consente à la collection de ces données, il doit savoir exactement quelles informations seront enregistrées, et pour quelles fins. Le RGPD espère ainsi que les paramètres de confidentialité et de sécurité des entreprises se feront plus clairs et simples à comprendre.

La fonction de "Délégué à la protection des données" (Data Privacy Officer) devient obligatoire pour les autorités ou les organismes publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, et les organismes dont les activités de base les amènent à traiter à grande échelle des données dites "sensibles" ou relatives à des condamnations.

En cas de perte, de vol, de corruption ou de modification des données personnelles, les entreprises ont 72 heures pour notifier les autorités de protection européennes. Si ce vol atteint un individu en particulier, celui-ci recevra une notification dans un temps imparti de 3 jours.

Les entreprises qui ne respecteront pas cette réglementation pourront être pénalisées de 4% de leur chiffre d’affaires mondial.


Les entreprises canadiennes sont-elles concernées?

Malgré l'utilisation du terme "européen" dans son titre, ce règlement s'applique bien au-delà de l'Europe. En effet, toutes les entreprises qui hébergent ou enregistrent des données de résidents européens devront se conformer au RGPD. Cela concerne notamment les entreprises de e-commerce ou les entreprises qui collectent des informations sur leurs utilisateurs.

Pour se conformer au Règlement général sur la protection des données, les entreprises canadiennes doivent vérifier comment le RGPD définit les données personnelles, où elles se trouvent dans leur entreprise, comment elles sont utilisées, et surtout, qui y a accès.


Nos 6 recommandations pour se conformer au RGPD

Le RGPD peut sembler lourd et complexe, alors nous avons rédigé pour vous 6 recommandations à mettre en place pour vous y conformer :

1. Tenir un registre des traitements

Le registre des traitements est obligatoire pour les entreprises de 250 employés et plus, mais nous vous recommandons fortement d'en tenir un même si vous avez une plus petite entreprise ou si vous collectez peu de données. Si tel est le cas, l'exercice sera d'autant plus facile.

Le registre des données est un document qui doit contenir les informations suivantes :

  • Les noms et coordonnées des organisations et sous-traitants impliqués dans la collecte ou le traitement des données;
  • Une description détaillée de chaque finalité visée par le traitement des données;
  • Une description des catégories de personnes concernées et des données utilisées pour chacun des objectifs;
  • Les informations concernant l'entreposage des données et leurs transferts d'une organisation à l'autre le cas échéant;
  • La durée de vie utile des données;
  • Une description des mesures de sécurité en place.

2. Identifier le périmètre des données sensibles

Les données sensibles, ou "données à caractère personnel" constituent toutes les données qui permettent d'identifier directement ou indirectement les individus. Il peut s'agir, par exemple d'un nom complet, de coordonnées ou même d'une adresse IP.

Il est d'autant plus important d'assurer une protection adéquate des données sensibles lorsque celles-ci peuvent être croisées avec des informations relatives à la santé, aux finances ou aux condamnations des utilisateurs.

Dans le registre des traitements, assurez-vous de bien identifier les données à caractère personnel.

3. Garantir les droits des personnes

Afin de bien vous conformer au RGPD et garantir les droits de vos utilisateurs, vous pourriez devoir modifier les éléments suivants en lien avec votre site web :

  • les formulaires pour revoir les informations collectées et y intégrer un consentement clair;
  • la politique de confidentialité;
  • l'ajout d'un formulaire ou d'un processus pour permettre aux utilisateurs de récupérer, supprimer ou transférer les données les concernant;
  • l'infrastructure d'entreposage des données.

4. Revoir les contrats avec vos fournisseurs

Les principaux prestataires de services web ont déjà, au courant des derniers mois, apporté des modifications à leurs produits et services afin de faciliter l'application du RGPD pour vous. Vous avez probablement reçu des avis de mise à jour de politiques de confidentialité de nombreux services : Google, Mailchimp, Magento, Hubspot, ne sont que quelques exemples de plateformes qui expliquent clairement comment se conformer à la nouvelle réglementation tout en continuant d'utiliser leurs services.

Lorsque vous ferez l'inventaire de tous les services que vous utilisez dans la collecte de données, profitez-en pour revoir les contrats vous liant à ces entreprises et posez des questions à vos représentants au besoin.

5. Procéder à la nomination d’un Délégué à la protection des données (DPO)

Les entreprises publiques ou les entreprises traitant des données sensibles ou à grande échelle sont tenues de nommer un délégué à la protection des données. Notre recommandation est toutefois de nommer une personne responsable dans votre entreprise, peu importe l'ampleur des données collectées. Ne tardez pas pour nommer un responsable au sein de votre équipe. Cette personne devra mettre en place les mesures nécessaires pour que votre entreprise se conforme au RGPD, mais aussi assurer que la documentation de votre entreprise est mise à jour lorsqu'il y a des changements dans la collecte ou le traitement des données.

6. Se préparer à la possibilité d’une fuite de données

Dans le cas où vous seriez victime d'une attaque ou d'une faille de sécurité qui pourrait entraîner une violation de données à caractère personnel, vous devez avoir un plan d'urgence.

Dans le RGPD, on explique qu'une "violation de données à caractère personnel" constitue "une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;".

En cas de violation, la loi oblige les entreprises à informer les autorités de contrôle dans les 72 heures et à informer les utilisateurs concernés si la violation est "susceptible d'engendrer un risque élevé pour les droits et libertés de la personne physique afin qu'elle puisse prendre les précautions qui s'imposent."


En somme, que votre entreprise fasse des affaires avec des citoyens européens ou non, nous vous recommandons de ne pas tarder à vous conformer au RGPD. Si vous avez des doutes concernant l'application du règlement dans votre situation, consultez un avocat spécialisé dans votre domaine.

Avez-vous votre certificat SSL? Un essentiel pour Google dès juillet!
Article précédent
Avez-vous votre certificat SSL? Un essentiel pour Google dès juillet!
Commerce en ligne : 12 éléments essentiels pour avoir du succès
Article suivant
Commerce en ligne : 12 éléments essentiels pour avoir du succès
Vous souhaitez rester à l'affut?
Vous souhaitez rester à l'affut?
S'inscrire au blogue