Que dois-je savoir sur le règlement RGPD ?

Législation sur la vie privée

La législation sur la vie privée n'est pas nouvelle. Dans l'Union européenne (UE), chaque État membre dispose encore actuellement de sa propre loi sur la vie privée. Ces lois nationales sont toutes fondées sur la directive européenne sur la vie privée de 1995. Aux Pays-Bas, la transposition nationale de cette directive est la Wet bescherming persoonsgegevens (Wbp).

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD ou GDPR en anglais) est applicable. Cela signifie qu'à partir de cette date, une seule loi sur la vie privée s'applique dans toute l'UE. La Wbp n'est plus en vigueur, mais les principes fondamentaux de cette législation constituent toujours le cœur du nouveau RGPD. L'Autorité de protection des données supervise le respect des règles légales relatives à la protection des données personnelles.

Quel est l'objectif général du RGPD ?

L'objectif général du Règlement général sur la protection des données est de protéger les citoyens de l'UE en matière de réglementation sur la vie privée et de données personnelles. Le RGPD offre des droits relatifs aux données personnelles partagées avec des organisations qui collectent, stockent et traitent ces données personnelles.

À qui s'applique le RGPD ?

Le RGPD s'applique à toute organisation qui collecte des données personnelles de citoyens de l'UE. Une organisation n'a pas besoin d'être établie dans l'UE pour être soumise aux conditions du RGPD. Si une organisation est située en dehors de l'UE et collecte des données personnelles provenant de l'UE, le RGPD s'applique à cette organisation.

Qu'est-ce qui va changer ?

Le nouveau règlement RGPD renforce les règles de la loi actuelle sur la protection des données personnelles. En définitive, beaucoup de choses restent identiques. La minimisation des données, le droit à l'oubli, les obligations d'information et les accords de sous-traitance figuraient déjà dans la loi, parfois sous d'autres appellations.
Une bonne politique de confidentialité, une déclaration de confidentialité compréhensible, des accords clairs entre sous-traitants et responsables, ainsi qu'une procédure relative aux violations de données restent également importants.

De nombreuses règles existantes ont été considérablement renforcées dans le nouveau RGPD, et un certain nombre de nouvelles obligations ont été ajoutées. L'accent est davantage mis sur la responsabilité des organisations elles-mêmes pour respecter la loi et être en mesure de démontrer qu'elles s'y conforment.

Que puis-je faire moi-même ?

En tant qu'organisation, vous pouvez dès à présent prendre des mesures pour être prêt pour le RGPD. Pour vous y aider, l'Autorité de protection des données a répertorié les 10 étapes les plus importantes.

Que sont les données personnelles ?

Le RGPD indique qu'une donnée personnelle est toute information concernant une personne physique identifiée ou identifiable. Il existe de nombreux types de données personnelles. Les données les plus évidentes sont le nom, l'adresse et le lieu de résidence d'une personne. Mais les numéros de téléphone et les codes postaux avec numéros de maison sont également des données personnelles. Les données sensibles telles que la race, la religion ou la santé d'une personne sont également appelées données personnelles particulières. Celles-ci bénéficient d'une protection supplémentaire prévue par la loi.

En quoi consiste le traitement des données personnelles ?

Par traitement, on entend : toutes les opérations qu'une organisation peut effectuer sur des données personnelles, de la collecte à la destruction. La loi cite comme exemples de traitement : la collecte, l'enregistrement, l'organisation, la conservation, la mise à jour, la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion, la mise à disposition, le rapprochement, l'interconnexion, le verrouillage, l'effacement et la destruction des données.
La loi dispose qu'une organisation ne peut traiter des données personnelles que si cela est nécessaire à une fin déterminée.

Principes de traitement

Le RGPD introduit des principes fondamentaux auxquels tout traitement de données personnelles doit satisfaire :

• les données personnelles doivent être traitées de manière licite, loyale et transparente ;
• les données personnelles ne peuvent être traitées qu'à des fins déterminées, explicites et légitimes ;
• seules les données personnelles nécessaires à la finalité peuvent être traitées ;
• les données doivent être exactes et à jour ;
• si l'identification n'est plus nécessaire à la finalité, les données personnelles doivent être supprimées ou anonymisées, et ;
• les données personnelles doivent être sécurisées au moyen de mesures techniques et organisationnelles.

Terminologie responsable du traitement/sous-traitant

Le RGPD utilise les termes « responsable du traitement » et « sous-traitant » à la place des termes « responsable » et « processeur » issus de la Wbp. Dans la traduction néerlandaise du RGPD, les définitions suivantes ont été données :

Responsable du traitement
Une personne physique ou morale, une autorité publique, un service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles. Il s'agit des clients de Teqa qui utilisent i-Reserve comme produit.

Sous-traitant
Une personne physique ou morale, une autorité publique, un service ou tout autre organisme qui traite des données personnelles pour le compte du responsable du traitement. Il s'agit de nous en tant qu'organisation, en tant que fournisseur de i-Reserve, et de notre administrateur de serveur en ce qui concerne l'hébergement de i-Reserve.

La personne concernée
Est celle dont une organisation traite les données personnelles. Il s'agit donc de la personne à laquelle les données personnelles se rapportent. Ce sont vos clients, les utilisateurs finaux.

Le traitement de données personnelles particulières
Outre les données personnelles ordinaires, la loi reconnaît également les données personnelles particulières. Ce sont des données si sensibles que leur traitement peut porter gravement atteinte à la vie privée d'une personne. Selon le RGPD, le traitement de données personnelles particulières est interdit, sauf si une exception s'applique.

Les données personnelles particulières sont les données personnelles relatives à l'origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l'appartenance syndicale, aux données génétiques, aux données biométriques aux fins d'identification unique d'une personne, aux données concernant la santé, le comportement sexuel ou l'orientation sexuelle. De telles données ne peuvent donc être traitées que dans des conditions très strictes.

Quels sont les principaux changements pour les organisations ?

Lorsque le règlement général sur la protection des données est applicable, les organisations qui traitent des données personnelles ont davantage d'obligations.

Consentement
Nouveau : l'organisation doit être en mesure de démontrer qu'elle a obtenu le consentement valide des personnes pour traiter leurs données personnelles. Et qu'il doit être aussi facile pour les personnes de retirer leur consentement que de le donner. Il doit s'agir d'une manifestation de volonté « non équivoque ». Fini donc les cases précochées ! La demande de consentement doit être claire et compréhensible et présentée dans un langage simple.
En tant qu'organisation, vous devez finalement être en mesure de prouver que la personne concernée a donné son consentement. La personne concernée a à tout moment le droit de retirer son consentement, et doit également en être informée.

ATTENTION :
Demander le consentement pour l'enregistrement de données personnelles n'est pas toujours nécessaire. Par exemple, tant que les données enregistrées se limitent à ce qui est nécessaire à l'exécution du contrat conclu. Dans d'autres cas, vous devez demander le consentement. Pour déterminer ce qui s'applique à votre situation, vous trouverez ici plus d'informations.

Obligation administrative
Le RGPD impose une obligation de documentation, ce qui implique qu'il doit être possible de démontrer que l'organisation agit en conformité avec le RGPD. Cela concerne notamment le consentement, les informations fournies, les droits des personnes concernées, la sécurité des données, la minimisation des traitements et les accords avec les sous-traitants. Ainsi : cartographiez les traitements de données au sein de l'organisation. De nombreuses organisations devront adapter leur déclaration de confidentialité, ce qui n'est pas anodin. Ne pas disposer d'une déclaration de confidentialité (complète) pourra en effet entraîner de lourdes amendes.

Dès que le RGPD est applicable, l'obligation Wbp de déclarer les traitements de données auprès de l'autorité de contrôle est supprimée. En remplacement, les organisations doivent tenir elles-mêmes un registre des activités de traitement (« registre des traitements ») effectuées sous leur responsabilité.

Accord de sous-traitance
La conclusion d'un accord de sous-traitance n'est pas en soi une nouveauté, car il est déjà obligatoire dans le cadre de la Wbp. Avec le RGPD, il s'appellera désormais accord de traitement, et s'applique entre le responsable des données personnelles et la partie qui traite ces données personnelles pour son compte (jusqu'ici appelée sous-traitant, désormais processeur). Toutefois, la nouveauté est que le RGPD énumère un certain nombre d'éléments obligatoires de cet accord, notamment :

• la finalité du traitement ;
• le type de données personnelles traitées ;
• les catégories de personnes concernées ;
• que des mesures de sécurité appropriées seront prises ;
• que le sous-traitant coopère aux audits visant à vérifier qu'il respecte toutes ses obligations, et ;
• la destruction ou la restitution des données personnelles au responsable à l'issue du traitement.

Le sous-traitant ne pourra désormais plus faire appel à une partie externe pour traiter des données personnelles sans l'autorisation écrite préalable du responsable.

Analyse d'impact relative à la protection des données (PIA)
En français, une « analyse d'impact relative à la protection des données », la PIA est un outil indispensable pour les organisations afin d'évaluer l'impact sur la vie privée. L'utilisation de la PIA permet d'intégrer de manière structurée la protection des données personnelles dans la pondération des intérêts et la prise de décision au sein des organisations.

La PIA consigne pourquoi, de quelle manière et pendant combien de temps des données personnelles sont traitées. La réalisation d'une analyse d'impact relative à la protection des données est obligatoire lorsque le traitement de données personnelles, notamment à l'aide de nouvelles technologies, présente des risques pour les personnes concernées.

Obligation de notification des violations de données
Nous connaissons déjà cela dans la loi néerlandaise : l'obligation de signaler les violations de données. Celle-ci est également prévue par le RGPD et reste en grande partie inchangée. Le RGPD impose toutefois des exigences plus strictes quant à votre propre enregistrement des violations de données survenues dans votre organisation. Vous devez documenter toutes les violations de données.

Évitez le stress en réfléchissant à l'avance à la manière dont vous réagirez en cas de risque de sécurité. Ainsi, en tant que responsable du traitement, vous devez dans certaines situations signaler une violation de données dans les 72 heures à l'Autorité de protection des données. La violation implique-t-elle probablement un risque élevé pour les personnes concernées par les données ? Dans ce cas, ces personnes doivent également être informées de la violation. Définissez donc à l'avance un processus pour les incidents de sécurité, dans lequel les personnes compétentes peuvent prendre rapidement une décision sur les actions à entreprendre.

L'Autorité de protection des données a publié des règles de politique relatives à l'obligation de notification des violations de données.

Vous aurez peut-être besoin d'un délégué à la protection des données
Un délégué à la protection des données (DPO), ou fonctionnaire chargé de la protection des données (FG), est une personne indépendante au sein de l'organisation qui conseille et rend compte du respect du RGPD. Le délégué à la protection des données n'était pas obligatoire dans le cadre de la Wbp, mais il l'est sous le RGPD dans certaines situations. Selon la loi, il est obligatoire lorsque vous traitez à grande échelle des données personnelles sensibles telles que des données de santé, ou lorsque vous observez systématiquement des personnes (physiquement ou numériquement). Un FG peut être une personne nommée en interne, mais peut également être une personne nommée en externe.

Droits de la personne concernée
Les données personnelles doivent être traitées d'une manière qui soit licite, loyale et transparente à l'égard de la personne concernée. La transparence est primordiale : la personne concernée doit être informée de ce qui se passe avec ses données personnelles. Tout doit être communiqué dans un langage simple et clair.
Outre le droit bien connu d'accès, de rectification et d'opposition, la personne concernée dispose également, dans le cadre du RGPD :

• du droit à l'oubli,
• du droit à la portabilité de ses données (également appelé : dataportabilité),
• du droit de limiter le traitement et
• du droit de s'opposer à certains traitements. La personne concernée a à tout moment le droit de s'opposer au traitement de ses données à des fins de marketing direct. Si la personne concernée formule une telle opposition, ses données ne peuvent plus être traitées à des fins marketing.

Droit d'accès
Une personne concernée a le droit d'être informée par le responsable du traitement si ses données personnelles sont traitées. Lorsque les données personnelles sont traitées, la personne concernée a le droit d'obtenir des informations sur ces données. La personne concernée a notamment le droit à des informations sur :

• les finalités du traitement ;
• les catégories de données personnelles concernées ;
• les destinataires auxquels les données personnelles sont communiquées ;
• la durée de conservation ;
• le fait que la personne concernée a le droit de soumettre une demande de rectification, une demande d'effacement ou de limitation des données et le droit de s'y opposer ;
• le fait que la personne concernée peut introduire une réclamation.

Droit à la rectification et droit d'opposition
Une personne concernée a le droit d'obtenir du responsable du traitement la correction de données personnelles inexactes. Cela doit se faire sans retard injustifié. La personne concernée peut s'opposer à certaines formes de traitement des données, ce qui peut entraîner l'obligation de cesser le traitement de ses données personnelles. Pensez à une organisation qui utilise des données personnelles à des fins marketing. (À l'heure actuelle, il existe déjà un droit d'opposition absolu pour le marketing direct. Si une personne concernée en fait usage, vous ne pouvez plus la contacter à des fins marketing).

Droit à l'oubli
Dans certaines situations, la personne concernée a le droit de demander la suppression totale de ses données. Le RGPD a ajouté des motifs supplémentaires pour ce dernier droit. Le RGPD introduit le droit à l'oubli. Cela signifie que le responsable du traitement doit effacer les données personnelles sans retard injustifié, par exemple lorsque les données personnelles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou traitées. Il devient également obligatoire, lors d'une telle demande, d'informer les parties avec lesquelles vous avez partagé les données. Les noms de ces parties doivent également être communiqués à la personne concernée. Le responsable du traitement doit prendre des mesures raisonnables pour supprimer les données, mais aussi pour effacer tout lien, copie ou reproduction.

Consultez également la possibilité d'anonymiser automatiquement les données dans i-Reserve.

Droit à la portabilité des données
Le RGPD introduit le droit à la portabilité des données, c'est-à-dire la transférabilité des données personnelles. Cela signifie que vous pouvez recevoir des demandes de vos clients pour mettre leurs données personnelles à disposition. Il s'agit de toutes les données numériques qu'une organisation traite avec le consentement de la personne concernée, ainsi que les données nécessaires à l'exécution d'un contrat. Un historique de recherche ou des données de localisation relèvent également du droit à la portabilité. En tant qu'organisation, vous êtes alors légalement tenu de fournir les données dans un format « structuré, couramment utilisé et lisible par machine ». Vous pouvez vous y préparer en réfléchissant dès maintenant à la manière dont vous allez mettre les données à disposition. Par exemple via un outil permettant à vos clients de télécharger leurs données directement de manière sécurisée.

Si cela est techniquement possible, le responsable du traitement doit transmettre les données directement à un autre responsable du traitement. Cela peut se faire par exemple via une interface de programmation d'application (API), permettant d'établir une connexion entre votre système et une application et ceux d'une autre partie.

Dans i-Reserve, il est possible que le client télécharge lui-même ses données (télécharger), que l'administrateur exporte les données client ou transmette des données via une API.

Privacy by default et Privacy by design
Le RGPD introduit une obligation de protection des données via les paramètres par défaut (Privacy by default) et via des fonctionnalités configurables (Privacy by design) au sein du logiciel.

L'obligation de Privacy by default signifie que vous devez prendre des mesures techniques et organisationnelles pour vous assurer que vous ne traitez par défaut que les données personnelles nécessaires à la finalité spécifique que vous souhaitez atteindre. Lorsque les utilisateurs peuvent adapter eux-mêmes leurs paramètres de confidentialité, ceux-ci doivent par exemple être définis par défaut au niveau le plus élevé.

L'obligation de Privacy by design signifie que vous devez veiller, dès la conception de produits, de services et de processus organisationnels, à ce que les données personnelles soient protégées.

Exemples :

• Lors de la mise à disposition d'une application, ne pas demander aux utilisateurs d'enregistrer leur localisation si cela n'est pas nécessaire ;
• Sur le site web, ne pas précocher la case « Oui, je souhaite recevoir des offres » ;
• Lorsqu'une personne souhaite s'abonner à une newsletter, ne pas demander plus de données que nécessaire.

Découvrez ici ce que i-Reserve fait pour la sécurité et la protection des données personnelles.

La sécurité doit être en ordre – et le rester
La sécurité des données personnelles est cruciale. Sans chiffrement, authentification à deux facteurs et la possibilité de séparer et d'effacer en toute sécurité les informations personnelles, vous prenez en tant qu'organisation un risque très élevé.

Infractions et sanctions
L'amende maximale par infraction à la loi actuelle sur la vie privée (Wbp) est actuellement de 900 000 euros. Dans le RGPD, les autorités de contrôle nationales ont davantage de pouvoirs pour sanctionner les violations du RGPD. Les amendes sont considérables et peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial si une organisation ne respecte pas les exigences de la loi. Les amendes infligées aux Pays-Bas par l'autorité de contrôle désignée : l'Autoriteit Persoonsgegevens (AP).
Vous cherchez des détails ? Sur autoriteitpersoonsgegevens.nl, vous trouverez également les réponses aux questions fréquemment posées.

Cookies, spam, e-mail, télémarketing et le RGPD
Les règles relatives au traitement des communications électroniques telles que les cookies, le suivi Wi-Fi, l'e-mail, etc. ne sont pas définies dans le RGPD. Vous les trouverez dans la directive ePrivacy – une législation européenne existante qui fait l'objet d'une mise à jour en 2018. La directive ePrivacy est également connue sous le nom de loi sur les cookies. L'Union européenne espère pouvoir lancer les règles modifiées en même temps que le RGPD, afin d'offrir en une seule fois aux citoyens une meilleure protection de leurs informations personnelles. Plus généralement, ce texte législatif fixe les règles que les organisations doivent suivre pour garantir la confidentialité des communications numériques.