En mai 2018, l’Union européenne a mis en vigueur le Règlement général sur la protection des données (RGPD).
Peu de temps après, la France et d’autres pays ont commencé à mettre en œuvre des politiques et des lois sur la protection de la vie privée qui reflétaient étroitement les réglementations décrites dans les exigences du RGPD.
N’oubliez pas que votre entreprise n’a pas besoin d’être basée dans l’UE pour être tenue de respecter les obligations du RGPD. Si vous collectez ou suivez les données d’un visiteur ou d’un consommateur de l’UE, vous devez respecter les exigences de la RGPD.
Nous savons que le RGPD est compliqué. Souvent, il peut être particulièrement difficile pour les entreprises étrangères de comprendre si elles sont ou non totalement conformes à la RGPD.
Cependant, les frais de violation de ces lois sur la protection de la vie privée peuvent être assez élevés.
Lisez ce qui suit pour en savoir plus sur la manière de suivre les directives relatives à la protection de la vie privée et à la collecte des données spécifiées dans le RGPD. Ces étapes peuvent vous aider à vous assurer que vous êtes en conformité RGPD . (Veuillez consulter votre avocat pour obtenir des instructions détaillées sur la manière dont vous pouvez vous conformer à la RGPD – ne tenez pas compte de cet avis juridique).
1. Fournir des avis de confidentialité
Une étape fondamentale pour vous aider à vous conformer à la RGPD est d’envoyer et/ou de mettre à jour les avis de confidentialité à vos clients concernant la collecte de leurs données personnelles.
Dans ce sens, les « données à caractère personnel » désignent tout type d’information personnelle concernant un individu. Il importe peu que ces informations soient publiques, privées ou liées d’une manière ou d’une autre à la vie professionnelle d’un individu.
Les données personnelles peuvent comprendre des éléments tels que l’adresse du domicile et l’adresse électronique, l’historique du navigateur et l’adresse IP, des informations médicales, des informations bancaires et même des messages sur les médias sociaux.
Les avis de confidentialité doivent indiquer à vos clients/visiteurs du site pourquoi vous collectez leurs données, ce que vous comptez en faire, la durée pendant laquelle vous les aurez, où vous les stockerez et comment ils peuvent y accéder.
En outre, n’oubliez pas que les clients doivent confirmer qu’ils acceptent et comprennent le fait que vous voyez et partagez potentiellement leurs données personnelles. Il ne suffit pas de leur offrir la possibilité de « se désengager » : pour être en conformité avec le RGPD, ils doivent confirmer activement qu’ils comprennent et choisissent de « s’engager » (vous ne pouvez pas pré-remplir une case par laquelle ils pourraient s’engager par inadvertance – elle doit être décochée par défaut).
N’oubliez pas que vous devrez non seulement être en mesure de suivre les exigences de la RGPD, mais aussi de prouver que vous êtes en conformité à tout moment.
2. Prenez la sécurité au sérieux
La sécurité va de pair avec la notion de confidentialité des données.
N’oubliez pas qu’il vous incombe de prendre toutes les mesures nécessaires pour préserver la confidentialité et la sécurité de ces données personnelles, et pour éviter qu’elles ne tombent entre les mains de personnes que vous n’avez pas spécifiées dans la déclaration de confidentialité.
Cela signifie utiliser un courrier électronique sécurisé, crypter les données, investir dans des programmes de gestion des données et de sécurité informatique de qualité supérieure, et bien plus encore. Tout comme les lois HIPAA, si vous êtes en violation de la RGPD parce qu’un hacker a pris le contrôle de vos données d’une manière ou d’une autre, vous serez quand même tenu pour responsable.
En effet, il est expressément de votre responsabilité de prendre toutes les mesures possibles pour assurer la sécurité des données.
3. Plan pour une violation potentielle
Ce n’est un secret pour personne que le piratage et les violations de données sont en constante augmentation depuis quelques années.
En fait, les pirates et autres cybercriminels n’ont souvent pas de mal à rester en avance sur la technologie.
Cela signifie que, même si vous faites tout ce que vous pouvez pour empêcher les pirates d’entrer, vous pourriez avoir à faire face à une faille de sécurité. Vous devez avoir un plan d’action solide en place pour ce que vous ferez si l’une de vos données est compromise.
Ce plan doit prévoir la manière dont vous communiquerez le fait qu’une faille s’est produite à toute personne touchée – et aux autorités de régulation – dans un délai de 72 heures. Il doit également indiquer les mesures que vous prendrez pour détecter et arrêter une éventuelle violation, ainsi que la manière dont vous prévoyez de les éviter à l’avenir.
4. Savoir comment supprimer les données des clients
N’oubliez pas que votre liste de contrôle de la conformité à la RGPD doit également indiquer les moyens par lesquels vous supprimerez les données personnelles d’un client s’il en fait la demande. En vertu des nouvelles lois sur la protection de la vie privée, les individus ont de nouveaux droits, comme le droit d’être oublié dans le cadre du RGPD.
Assurez-vous de bien comprendre quand vous êtes et n’êtes pas tenu de supprimer ces données, et sachez comment vous pourrez montrer à vos clients la preuve de cette suppression.
5. Soyez prêt pour les demandes d’accès aux données
Enfin, sachez que les personnes protégées par la RGPD ont le droit de connaître le type de données personnelles que vous avez recueillies à leur sujet.
En fait, elles sont même autorisées à demander une copie de leurs données. Cela se produit bien plus souvent que vous ne le pensez, et si vous n’avez pas de plan en place pour la fourniture de ces copies, vous pourriez vous retrouver avec une charge de travail accrue, difficile à gérer.
Vous devez leur fournir une copie de leurs données sous forme électronique dans les 30 jours suivant leur demande. La planification des ressources est donc cruciale.