Ce qu’il faut savoir au sujet du RGPD aka GDPR

Est-ce que votre entreprise est basée dans l’Union européenne? Est-ce que vous possédez des données sur des utilisateurs qui font partie de l’Union européenne? Est-ce que la gestion de ces données implique une offre de biens et services à l’intérieur de l’Union européenne? Est-ce que que la gestion de ces données est liée à l’étude du comportement des résidents de l’Union européenne?

Si vous avez répondu OUI à l’une de ces questions, la loi RGPD vous concerne.

Que signifie l’acronyme RGPD ou GDPR ?

RGPD est l’acronyme français pour Règlement général de la protection des données, couramment substitué par l’équivalent anglais GDPR, pour General Data Protection Rule.

Cette nouvelle loi, issue de l’Union européenne, s’intéresse aux données personnelles des clients ou des employés qui sont parfois récoltées, utilisées et gardées par les entreprises, via leur site Web.

Même si cette loi nous arrive d’Europe, elle s’applique notamment à tous les sites qui sont susceptibles d’être visités par ses résidents ou même, par des touristes de passage sur son territoire.

De quelles données parle-t-on ?

Nom et prénom, adresse (physique ou IP), courriel, numéro d’assurance social, groupe sanguin, données biométriques et ainsi de suite. En fait, toute donnée qui permet d’identifier une personne.

Pourquoi tant d’intérêt pour cette loi étrangère ?

Depuis sa date d’entrée en vigueur, soit le 25 mai dernier, on voit plusieurs sites se conformer à cette exigence, faute de quoi une amende de 2 à 4 % du chiffre d’affaires de l’entreprise pourrait être imposée, peu importe où est situé le site.

Mais au-delà de ce souci de se conformer à cette nouvelle loi, disons qu’il s’agit aussi d’une opportunité pour les entreprises : celle d’afficher leur couleur. À la lumière des récents scandales de Facebook et de Cambridge Analytica, la sensibilité des utilisateurs est aiguisée quant à l’utilisation (et la vente) de leurs données. En adoptant une position responsable, les entreprises démontrent ainsi leur bonne foi.

Que faire pour éviter d’être reconnu fautif ?

• Si vous conservez des données sur vos clients ou vos employés, ils doivent en être informés et avoir accès à ces données, sur demande.
• Si vous souhaitez utiliser les données de vos utilisateurs à d’autres fins que ce qui est explicite, vous devez les en informer. Par exemple, si vous demandez l’adresse d’un client pour lui livrer un colis, vous n’avez rien à expliquer. Toutefois, si vous utilisez ses données personnelles pour lui proposer du contenu publicitaire adapté, ou que vous compter partager celles-ci avec une tierce partie, vous devez en faire mention, en toute transparence.
• Dans un tel cas, une obtention explicite du consentement est nécessaire.
• Les données doivent être stockées en toute sécurité et l’accès à ces données devrait être protégé à l’aide d’un mot de passe.
• Les données collectées doivent également être effacées dès qu’elles ne sont plus utiles.

Comment peut-on vous aider ?

Pour toutes vos questions légales et savoir dans quelle mesure vous devez vous conformer à cette loi, nous vous conseillons de communiquer avec votre cabinet d’avocat. Nous pourrons par la suite vous assister, s’il y a lieu, pour le volet technique. Par exemple :

• Nous pourrons concevoir et intégrer une alerte qui s’affichera lorsqu’un utilisateur visitera votre site pour une première fois depuis l’entrée en vigueur du règlement. Ce message servira à le diriger vers votre page de politique interne à l’égard de la loi RGPD.
• Nous pourrons aussi vous aider à créer cette page et à l’intégrer dans l’arborescence de votre site.
• Enfin, nous pourrions également vous aider à développer un système permettant de partager les données personnelles des utilisateurs qui en font la demande.

Exemple de message d'alerte affiché sur un site qui se conforme au RGPD:

Dans tous les cas, nous prendrons soin d’évaluer votre situation particulière pour vous proposer une solution adaptée.

En terminant, si vous souhaitez lire davantage sur le sujet, la Commission européenne a développé un petit guide en 7 étapes pour aider les entreprises à mieux comprendre le RGPD.