Découvrez les principes fondamentaux du GDPR
European Union Flags

Êtes-vous prêts pour le GDPR / RGPD?

À partir de mai 2018, toutes les entreprises qui collectent des données personnelles devront respecter Le GDPR. Il est grand temps de se préparer !

Le GDPR, c'est quoi?

Le GDPR, General Data Protection Regulation (règlement général sur la protection des données), est une nouvelle législation européenne sur la protection de la vie privée qui entrera en vigueur en mai 2018.

Qui est concerné par la législation?

Toutes les entreprises et organisations basées en Europe qui collectent des données sur les citoyens européens, indépendamment de leur présence physique dans le pays concerné. Par 'toutes', nous insistons sur le fait que toutes les entreprises doivent se conformer à la législation, indépendamment de leur taille (PME. grandes entreprises, micro entreprises) ou de leur forme juridique (asbl, SA, etc.).

Pourquoi est-ce important ?

Les amendes en cas de violation du RGPD seront de 4% du chiffre d'affaires annuel mondial total de l'exercice précédent ou de 20 millions euros, le montant le plus élevé étant retenu.

Quelques concepts clés qu'il faut maîtriser

DONNÉES PERSONNELLES

"Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale"

Par exemple, une adresse IP (particulièrement avec le nouvel IPv6), un numéro de registre national ou de carte de crédit pourraient tous être considérés comme des informations sur une personne identifiable.

Attention cependant à l'accumulation de données. En effet, si l'on possède une adresse email professionnelle de type, tuh@efficy.com ainsi qu'un numéro de téléphone personnel, il sera facile d'identifier la personne se cachant derrière tuh. Dès lors, l'adresse professionnelle ainsi que le numéro de téléphone devront être considérés comme des données personnelles.

DONNÉES SENSIBLES:

"Certaines données personnelles sont plus sensibles que d'autres. Il s'agit, par exemple, d'informations relatives à la race, la santé, les opinions politiques, les convictions religieuses ou philosophiques, l'affiliation à un syndicat, les préférences sexuelles ou le passé judiciaire. Ces données ne peuvent être ni collectées, ni enregistrées, ni même demandées."

Quels sont les grands principes de cette législation ?

PRINCIPE I : LICÉITÉ ET TRANSPARENCE

Il faut utiliser les données en justifiant son utilisation par une base légale, tout en étant transparent. Par exemple, justifier la collecte des données via un document relatant des finalités d'usage de celles-ci (conditions générales)

PRINCIPE II : CONSENTEMENT

Le consentement est défini comme "toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Cela signifie aussi que la personne peut, à tout moment, retirer son consentement, et ce, sans conditions.

PRINCIPE III : LE DROIT À L'OUBLI ET À L'ACCÈS DE SES DONNÉES 

"La personne a le droit de demander l’effacement et la suppression de ses données personnelles." C'est à dire que votre client/prospect dont vous possédez des données peut vous écrire et vous demander de supprimer ses données personnelles.

"Les organisations peuvent refuser de supprimer les données pour des raisons particulières, telles que pour exercer le droit de liberté d’expression et d’information, pour se conformer avec une obligation légale pour la réalisation d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ; pour des motifs d'intérêt public dans le domaine de la santé publique, à des fins archivistiques dans l'intérêt public et pour l'exercice ou la défense de droits en justice. "

Les clients/prospects peuvent transférer facilement les données d’un prestataire à un autre. Par exemple, si votre client décide de s'affilier dans une autre organisation, il aura parfaitement le droit de vous demander de transférer toutes ses informations vers l'autre organisation.

PRINCIPE IV: LIMITATION DES FINALITÉS

Il faut impérativement s’assurer que les données encodées et sauvées sont utilisées à des fins explicites, spécifiques, légitimes pour aucun autre objectif que celui mentionné de manière publique et transparente. Les données doivent être utilisées de manière sécurisée (un superviseur doit implémenter des mesures organisationnelles et techniques pour protéger les données contre leur destruction, perte, altération, divulgation ou accès…)

Les organisations devraient donner la priorité à la minimisation des données, aux restrictions d’utilisation et à la non-distribution des données à d’autres personnes sans une vérification des intérêts. Ce principe peut être contraire au concept de « big data »."


PRINCIPE V: EXACTITUDE DES DONNÉES

Les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.

PRINCIPE VI: INTÉGRITÉ ET CONFIDENTIALITÉ

"Les données doivent être utilisées de manière sécurisée (un superviseur doit implémenter des mesures organisationnelles et techniques pour protéger les données contre leur destruction, perte, altération, divulgation ou accès…)"

PRINCIPE VI : RESPONSABILITÉ

"Le responsable du traitement des données doit être capable de démontrer que les prescrits du RGPD sont respectés."

PRINCIPE VIII : AUTOMATISATION

"Les personnes ont le droit de ne pas être soumises à des décisions automatisées. Les organisations seront obligées d’assurer qu’un individu obtienne une intervention humaine, puisse exprimer son point de vue, reçoive une explication et conteste la décision

Le RGDP et Efficy

Dans le cadre de cette nouvelle législation, l'équipe Efficy travaille sur le développement de plusieurs services et nouveautés afin de permettre à ses clients de traverser cette transition vers la conformité en toute sérénité. Vous voulez découvrir nos solutions RGDP ? Cliquez-ici.



Découvrez également l'interview de Cédric Pierrard, CEO d'Efficy, pour le magazine News Data. Il révèle l'impact de la nouvelle réglementation européenne sur la gestion de la relation client.

Liens et documents pertinents
GDPR / RGPD test : gdprank.eu
CNIL:https://www.cnil.fr
Peeters law: http://www.peeters-law.be
GDPR Expert: https://www.gdpr-expert.eu
Belgium.be: https://www.belgium.be