Savoir si vous devez vous conformer aux réglementations en matière de confidentialité du RGPD est assez simple. Si vous servez des clients dans l'UE, cela s'applique très probablement à vous. Mais savoir exactement ce que vous devez faire pour être conforme est une autre histoire.

Si vous cherchez des conseils sur la manière de se conformer au RGPD, nous avons ce qu'il vous faut. Cet article décompose les concepts clés et explique ce qui est requis par le RGPD.

Un aperçu des exigences de conformité au RGPD

Le document juridique du RGPD fait plus de 85 pages et comprend 99 articles et 173 considérants. Il définit plusieurs points clés à prendre en compte pour la protection des données :

• Données personnelles : Toute information se rapportant à un individu qui peut être identifié, soit directement, soit indirectement. Les exemples comprennent les noms, les adresses électroniques, les données de localisation, l'ethnicité, le sexe, les adresses IP, l'affiliation politique ou religieuse, et les données biométriques.
• Traitement des données : Toute action automatisée ou manuelle effectuée sur des données personnelles. Les exemples comprennent la collecte, le stockage, l'utilisation, le transfert ou l'effacement des données.
• Sujets des données : L'individu dont les données sont traitées, tels que les clients, les abonnés, les utilisateurs et les visiteurs du site.
• Responsables du traitement des données : La personne, l'organisation ou l'entité qui décide comment et pourquoi les données personnelles seront traitées. Les employés qui gèrent ou traitent les données en sont un exemple.
• Sous-traitants des données : Toute tierce partie qui traite des données personnelles pour le compte d'un responsable du traitement des données, comme les fournisseurs de services cloud et les fournisseurs de services de messagerie.

Liste des exigences du RGPD

Pour être conforme au RGPD, les organisations doivent respecter certaines exigences pour le traitement des données personnelles. Ci-dessous, nous récapitulons certaines exigences clés pour la conformité au RGPD.

1. Établir une base légale pour le traitement des données

En vertu de l'article 6 du RGPD, les organisations doivent avoir une base légale valide pour collecter et traiter des données personnelles. Celles-ci incluent :

• Un sujet de données a donné librement son consentement clair et sans ambiguïté. Le consentement ne peut être contraint, et la demande doit être présentée clairement dans un langage clair. En d'autres termes, vous ne pouvez pas l'enterrer dans des conditions d'utilisation longues ou utiliser un jargon juridique confus. Le consentement doit également être documenté. Les sujets des données peuvent retirer leur consentement quand ils le souhaitent, et les enfants de moins de 13 ans ne peuvent donner leur consentement qu'avec l'autorisation expresse d'un parent.
• Le traitement des données est nécessaire pour remplir des obligations contractuelles ou légales.
• Le traitement des données sauvera la vie de quelqu'un.
• Le traitement des données est dans l'intérêt public.
• Vous avez un intérêt légitime à traiter les données. C'est la base légale la plus flexible, et elle s'applique chaque fois qu'une organisation utilise des données personnelles d'une manière à laquelle le sujet des données s'attendrait déjà. Un exemple serait une compagnie d'assurance qui analyse des données personnelles pour détecter des réclamations frauduleuses. Il est important de noter que lorsqu'un droit fondamental à la vie privée d'un sujet de données est en conflit, il prévaut sur les intérêts légitimes.

Si vous remplissez l'une des exigences ci-dessus, vous avez une base légale pour le traitement des données. Vous devrez documenter cette base et informer les sujets des données.

Si vous avez besoin de changer votre justification légale, vous aurez besoin d'une raison suffisante et bien documentée et vous devrez informer vos sujets de données.

2. Obtenir le consentement explicite des sujets de données

Vous devez expliquer comment vous traitez les données dans une « forme concise, transparente, intelligible et facilement accessible. » De nombreuses organisations le font par le biais d'un avis de confidentialité clairement rédigé.

Si votre justification légale pour le traitement des données personnelles est que vous avez le consentement de ce sujet de données, alors vous devez obtenir ce consentement de manière « claire, spécifique, informée et sans ambiguïté ».

Le RGPD prévoit quelques conditions à remplir pour que le consentement soit valable.

• Les sujets de données ne peuvent pas être contraints à donner leur consentement. Par exemple, vous ne pouvez pas refuser l'accès à des produits ou services sur la base du fait qu'ils ont ou non consenti aux activités de traitement des données. Vous ne pouvez pas non plus tromper les gens pour obtenir leur consentement. Par exemple, regrouper un tas de demandes de consentement ensemble mais n'avoir qu'une seule case « j'accepte » qui consent à toutes. Vous devez expliquer chaque cas d'utilisation du traitement des données et donner aux sujets des données la possibilité de consentir (ou non) à chacun d'eux. Enfin, le consentement doit être clair et sans ambiguïté. Vous ne pouvez pas charger une page avec des cases de consentement pré-cochées, et vous ne pouvez pas concevoir une page de manière à ce que le consentement soit accordé par inaction. Tout cela se résume à une idée principale : les sujets des données doivent prendre une décision libre et éclairée de consentir au traitement des données.
• Vous devez expliquer aux sujets des données exactement à quoi ils consentent. Ils doivent savoir qui vous êtes, comment vous traiterez leurs données, dans quel but et si vous avez l'intention de les partager avec des tiers.
• Le responsable du traitement doit pouvoir prouver que le sujet des données a consenti au traitement des données.
• Si la demande de consentement au sujet des données est dans un document écrit contenant d'autres informations, la demande de consentement doit être séparée des autres informations et présentée dans un langage clair.
• Vous êtes obligé d'informer les sujets des données qu'ils ont le droit de révoquer leur consentement à tout moment et vous devez leur faciliter la tâche. Cela inclut la publication des informations de contact pour exercer les droits des consommateurs en vertu du RGPD dans un endroit facilement accessible.

3. Honorer les droits des sujets des données

Les sujets des données ont certains droits en vertu du RGPD. Ceux-ci incluent :

• Le droit d'être informé : Vous devez expliquer clairement comment vous traitez les données personnelles et à quelle fin. Vous devez également faciliter la désinscription et/ou la demande de suppression des données et répondre à ces demandes en temps opportun. Lors de la collecte de données auprès d'un sujet de données, vous devez également expliquer comment et pourquoi. Cette exigence s'applique même si les données sont transférées à un tiers.
• Le droit d'accès : Les sujets des données ont le droit de savoir quelles données personnelles vous avez collectées à leur sujet, où et comment elles sont collectées, pourquoi elles sont traitées et combien de temps elles seront conservées.
• Le droit de rectification : Les sujets des données ont le droit de corriger toute donnée personnelle inexacte ou incomplète.
• Le droit à l'effacement: Aussi connu sous le nom de droit à l'oubli, les personnes concernées peuvent demander que vous supprimiez leurs informations personnelles (avec quelques exceptions spéciales) et il devrait être facile pour les utilisateurs de faire ces demandes d'effacement.
• Le droit de restreindre le traitement: Les personnes concernées peuvent également demander que vous modifiez la manière dont vous traitez leurs informations personnelles si elles ont des raisons de croire que les données sont inexactes, utilisées illégalement ou ne sont plus nécessaires pour votre base légale déclarée.
• Le droit à la portabilité des données: Le RGPD exige que vous stockiez les données personnelles de manière à ce qu'elles puissent être facilement partagées avec d'autres en cas de demande de la part d'une personne concernée. Si une personne concernée demande ses données personnelles, vous devez les lui fournir gratuitement et dans un format facilement accessible.
• Le droit d'opposition: Les personnes concernées peuvent s'opposer au traitement de leurs données personnelles. Vous devez respecter cette objection à moins que vous puissiez prouver que vous avez une base légale pour les traiter.

4. Mettre en place des mesures de protection techniques et organisationnelles.

Les organisations doivent mettre en œuvre des « mesures techniques et organisationnelles appropriées » pour garantir que les données des clients soient traitées de manière sécurisée.

Le RGPD ne précise pas exactement quelles mesures de sécurité les entreprises doivent prendre. Cependant, il exige que l'organisation évalue les risques inhérents au traitement des données personnelles de l'UE et mette en œuvre des niveaux appropriés de mesures de sécurité qui atténuent de tels risques en prenant en compte la confidentialité, l'intégrité et la disponibilité des systèmes et processus de traitement.

Chaque organisation doit établir un ensemble de contrôles de sécurité qui sont les plus appropriés pour ses systèmes et processus uniques. Cela peut inclure des mesures telles que l'activation de l'authentification multifactorielle, l'utilisation du chiffrement de données de bout en bout, l'implémentation de pare-feux, l'établissement de contrôles d'accès utilisateur et la réalisation de formations périodiques de sensibilisation à la sécurité pour le personnel.

5. Envoyer des notifications de violation.

À l'instar de la règle de notification de violation de HIPAA, le RGPD exige que vous informiez les personnes concernées affectées dans les 72 heures suivant une violation de données. Si vous ne pouvez pas délivrer une notification dans les 72 heures, vous devrez avoir une justification adéquate pour le retard.

Selon le RGPD, les notifications de violation doivent :

• Décrire l'ampleur et la nature de la violation des données, y compris le nombre de personnes et d'enregistrements de données affectés
• Expliquer les conséquences probables de la violation des données personnelles
• Partager les étapes prises par le responsable du traitement des données pour remédier à la violation
• Lister le nom et les coordonnées du délégué à la protection des données où les personnes concernées peuvent demander des informations supplémentaires

6. Nommer un délégué à la protection des données (si applicable)

Les organisations sont tenues de nommer un délégué à la protection des données (DPD) si :

• Elle agit en tant qu'autorité publique (autre qu'un tribunal agissant en qualité judiciaire)
• Ses activités principales nécessitent de surveiller les individus à grande échelle
• Ses activités principales impliquent le traitement de catégories particulières de données, ou de données relatives à des condamnations pénales et à des infractions

Les délégués à la protection des données sont responsables de la supervision de la stratégie de protection des données de l'organisation. Cela comprend généralement de s'assurer que les employés sont formés aux exigences du RGPD, de réaliser des audits de conformité réguliers et de maintenir la documentation et les dossiers de conformité.

Les délégués à la protection des données agissent également comme points de contact principaux pour les autorités de contrôle et les personnes concernées. Si une personne concernée interroge la manière dont ses données sont traitées ou soumet une demande d'effacement, le délégué à la protection des données doit répondre dans un délai d'un mois calendaire.

7. Concevoir en pensant à la confidentialité

L'article 25 du RGPD stipule que les organisations doivent prendre en compte la confidentialité et la protection des données lors de la conception de tout nouveau produit ou service. À chaque étape du développement, les entreprises doivent réfléchir aux données personnelles dont elles ont absolument besoin de collecter auprès des clients ou des utilisateurs et à la manière dont elles vont protéger ces données.

8. Mener une évaluation d'impact sur la protection des données

Chaque fois qu'une personne concernée consent à la collecte ou au traitement de ses données, elle prend un certain niveau de risque. Ses données pourraient être volées ou divulguées et utilisées à des fins frauduleuses. Une évaluation d'impact sur la protection des données (DPIA) explique comment votre organisation identifie et minimise ces risques.

Ces évaluations sont nécessaires chaque fois que le traitement est susceptible d'entraîner un risque élevé pour les droits et libertés des individus, mais les réaliser pour d'autres types de traitement des données peut aider à débloquer des avantages clés.

Les DPIA aident à améliorer la sensibilisation organisationnelle aux risques liés à la protection des données afin que vous puissiez concevoir entièrement en tenant compte de la confidentialité. Et ils peuvent vous aider à communiquer clairement avec les clients et les utilisateurs les étapes exactes que vous prenez pour sécuriser leurs données personnelles.

9. Restreindre les transferts de données personnelles

Le RGPD inclut des conditions strictes pour le transfert de données personnelles en dehors de l'UE ou de l'Espace économique européen (EEE). Dans les cas où des données personnelles sont transférées en dehors de l'UE ou de l'EEE, le RGPD exige que les organisations concernées (c'est-à-dire les organisations importatrices et exportatrices de données) adoptent des mesures de protection des données appropriées qui incluent des mesures techniques et organisationnelles.

Les transferts de données sont autorisés dans les cas suivants :

• La Commission européenne (CE) a pris une décision d'adéquation concernant le pays où est basé le destinataire
• Le transfert est couvert par les garanties appropriées énumérées à l'article 46 du RGPD
• Vous avez informé la personne concernée des risques possibles et avez obtenu son consentement explicite
• Le transfert de données est nécessaire pour remplir des obligations contractuelles avec la personne concernée
• Le transfert de données est dans l'intérêt public ou protégera les intérêts vitaux d'une personne
• Le transfert de données est requis pour établir ou défendre une réclamation légale
• Le transfert est effectué à partir d'un registre public
• C'est un transfert ponctuel qui est dans votre intérêt légitime

10. Compléter une formation régulière sur la sensibilisation à la confidentialité

Parce que la législation RGPD est assez complexe, une formation est nécessaire pour aider les employés à gérer les données personnelles de manière sécurisée. Bien que la loi ne spécifie pas de exigences de formation exactes, la formation RGPD que vous choisissez doit couvrir ce qu'est la loi et où elle s'applique, les principes fondamentaux de la protection des données, les droits des personnes concernées, les responsabilités des contrôleurs de données et des processeurs de données, et comment répondre à un incident de cybersécurité ou à une violation de données.

La formation doit être complétée régulièrement - au moins sur une base annuelle - pour les nouveaux employés et les employés existants impliqués dans la gestion des données personnelles.